ویروس پروکسی
ویروس پروکسی که به آن ویروس پروکسی MITM نیز گفته می شود، نوعی برنامه نفوذی است که کاربران مک را هدف قرار می دهد. این برنامه به دلیل عملکردهای ربودن مرورگر خود بدنام است. مجرمان سایبری از تکنیک های توزیع مشکوک برای انتشار این برنامه بالقوه ناخواسته (PUP) استفاده می کنند که اغلب منجر به نفوذ بی صدا به رایانه ها بدون رضایت صریح کاربران می شود. ضروری است که کاربران بدانند که PUPها، مانند ویروس پروکسی، می توانند به عنوان ابزارهای تبلیغاتی مزاحم عمل کنند و کاربران را با تبلیغات مزاحم بمباران کنند. علاوه بر این، آنها مستعد ثبت فعالیت های مرور هستند که به طور بالقوه حریم خصوصی و امنیت کاربران را به خطر می اندازد.
فهرست مطالب
ویروس پروکسی پس از نصب چگونه عمل می کند؟
نصب اولیه ابزارهای تبلیغاتی مزاحم معمولی به نظر می رسد، اما پس از نصب، کاربران با یک پیام پاپ آپ فریبنده مواجه می شوند که از آنها می خواهد مرورگر وب سافاری خود را به روز کنند. با کلیک بر روی "OK"، یک پنجره بازشو دیگر از کاربران درخواست می کند تا اعتبار حساب خود را وارد کنند. این اقدام به ظاهر بی ضرر ممکن است به طور ناخواسته مجوز برنامه مشکوک را برای کنترل مرورگر سافاری اعطا کند.
علاوه بر این، نصب کننده های سرکش یک «اسکریپت bash» را اجرا می کنند که برای اتصال یک سرور راه دور و دانلود یک آرشیو .zip طراحی شده است. پس از دانلود، بایگانی استخراج می شود و یک فایل plist. موجود در آن در دایرکتوری LaunchDaemons کپی می شود.
فایل plist. حاوی ارجاع به فایل دیگری به نام «Titanium.Web.Proxy.Examples.Basic.Standard» است. علاوه بر این، دو اسکریپت تکمیلی ('change_proxy.sh' و 'trust_cert.sh') پس از راه اندازی مجدد بعدی اجرا می شوند. اسکریپت 'change_proxy.sh' تنظیمات پراکسی سیستم را برای استفاده از پراکسی HTTP/S در 'localhost:8003' تغییر می دهد.
از سوی دیگر، اسکریپت Trust_cert.sh یک گواهی SSL قابل اعتماد را در زنجیره کلید نصب می کند. این عفونت توسط مجرمان سایبری که از Titanium Web Proxy، یک پراکسی منبع باز HTTP(S) ناهمزمان که با سی شارپ (C#) نوشته شده است، سازماندهی شده است. قابل ذکر است که Titanium Web Proxy یک پلتفرم متقابل است و به آن اجازه می دهد تا بر روی سیستم عامل های مختلف از جمله MacOS کار کند.
هدف اصلی این عفونت ربودن موتورهای جستجو است که مجرمان سایبری را قادر می سازد نتایج جستجوی اینترنتی را دستکاری کنند. این رویکرد از استفاده مرسوم از موتورهای جستجوی جعلی منحرف است. در عوض، مجرمان سایبری از برنامههای ربودن مرورگر برای تغییر تنظیماتی مانند URL برگه جدید، موتور جستجوی پیشفرض و صفحه اصلی با اختصاص دادن آنها به URLهای خاص استفاده میکنند.
موتورهای جستجوی جعلی و ربایندگان مرورگر اغلب منجر به افزایش خطرات حریم خصوصی و امنیت می شوند
وبسایتهای تبلیغاتی اغلب ظاهر موتورهای جستجوی شناخته شده و قانونی مانند بینگ، یاهو و گوگل را تقلید میکنند و در نگاه اول آنها را عادی جلوه میدهند. با این حال، این موتورهای جستجوی جعلی می توانند نتایج جستجویی ایجاد کنند که کاربران را به وب سایت های بالقوه ناامن هدایت کند. علاوه بر این، کاربران ممکن است متوجه تغییراتی در تنظیمات مرورگر خود شوند، به ویژه از طریق تغییر مسیرهای مکرر به سایت های مشکوک، که نشان دهنده دستکاری احتمالی است.
در حالی که مجرمان سایبری در به کارگیری ابزارهایی مانند ویروس پروکسی با چالش هایی روبرو هستند، آنها را برای فعالیت های پلید خود قابل اعتمادتر می دانند. آنها همچنین ممکن است به اصلاح محتوای موتورهای جستجوی قانونی برای ارائه نتایج جستجوی جعلی متوسل شوند. برای مثال، اگرچه وبسایت موتور جستجوی Google بهطور کامل از جمله URL، سرصفحه و پاورقی واقعی به نظر میرسد، اما آلودگی بخش نتایج را تغییر میدهد و کاربران را فریب میدهد تا تصور کنند نتایج جستجوی قانونی را مشاهده میکنند.
این رفتار فریبنده می تواند کاربران را در معرض عفونت های پرخطر مختلف قرار دهد زیرا ممکن است ناخواسته از وب سایت های ناامن بازدید کنند. علاوه بر این، مجرمان سایبری از چنین تاکتیکهایی برای هدایت ترافیک به وبسایتهای خاص استفاده میکنند و آنها را قادر میسازند از طریق درآمد تبلیغاتی سود ببرند.
وجود ویروس پروکسی می تواند تجربه مرور را به شدت مختل کند و احتمال آلودگی بیشتر رایانه را افزایش دهد. برنامه های تبلیغاتی معمولاً تبلیغاتی از جمله کوپن ها، بنرها و پنجره های بازشو ارائه می دهند که ممکن است کاربران را به وب سایت های مشکوک هدایت کنند.
علاوه بر این، ابزارهای تبلیغاتی مزاحم ممکن است توانایی جمع آوری اطلاعات حساس کاربر مانند آدرس های IP، URL های وب سایت بازدید شده، صفحات مشاهده شده، و عبارت های جستجو را داشته باشند. این داده ها اغلب با اشخاص ثالث، از جمله مجرمان سایبری، که از آن برای منافع مالی سوء استفاده می کنند، به اشتراک گذاشته می شود. در نتیجه، ردیابی غیرمجاز اطلاعات کاربر، خطرات قابل توجهی در حفظ حریم خصوصی ایجاد میکند که به طور بالقوه منجر به سرقت هویت یا سایر عواقب جدی میشود.
PUP ها به شدت به شیوه های توزیع مشکوک متکی هستند
PUP ها برای نفوذ به سیستم های کاربران بدون رضایت صریح آنها به شدت به شیوه های توزیع مشکوک متکی هستند. در اینجا چند روش کلیدی که آنها استفاده می کنند آورده شده است:
- نرمافزار همراه : PUPها اغلب با دانلودهای نرمافزار قانونی همراه هستند. کاربران ممکن است ناخواسته PUP را در کنار نرمافزار مورد نظر نصب کنند، بدون اینکه متوجه شوند، زیرا تمایل دارند فرآیند نصب را بدون بررسی دقیق شرایط و ضوابط یا لغو انتخاب پیشنهادات اختیاری، عجله کنند.
- تبلیغات فریبنده : PUPها اغلب از طریق تبلیغات فریبنده تبلیغ می شوند، که ممکن است به عنوان پیشنهادات یا تبلیغات مشروع ظاهر شوند و کاربران را برای دانلود و نصب نرم افزار ترغیب کنند. این تبلیغات اغلب از زبان یا تصاویر گمراه کننده استفاده می کنند تا کاربران را فریب دهند تا روی آنها کلیک کنند.
به طور کلی، PUP ها از انواع شیوه های توزیع مشکوک برای نفوذ مخفیانه به سیستم های کاربران استفاده می کنند و از عدم آگاهی، عجله و اعتماد کاربران به منابع نرم افزاری استفاده می کنند. با درک این تاکتیک ها، کاربران می توانند اقدامات پیشگیرانه ای برای محافظت از خود در برابر نصب نرم افزارهای ناخواسته انجام دهند.