ویروس پروکسی

ویروس پروکسی که به آن ویروس پروکسی MITM نیز گفته می شود، نوعی برنامه نفوذی است که کاربران مک را هدف قرار می دهد. این برنامه به دلیل عملکردهای ربودن مرورگر خود بدنام است. مجرمان سایبری از تکنیک های توزیع مشکوک برای انتشار این برنامه بالقوه ناخواسته (PUP) استفاده می کنند که اغلب منجر به نفوذ بی صدا به رایانه ها بدون رضایت صریح کاربران می شود. ضروری است که کاربران بدانند که PUPها، مانند ویروس پروکسی، می توانند به عنوان ابزارهای تبلیغاتی مزاحم عمل کنند و کاربران را با تبلیغات مزاحم بمباران کنند. علاوه بر این، آنها مستعد ثبت فعالیت های مرور هستند که به طور بالقوه حریم خصوصی و امنیت کاربران را به خطر می اندازد.

ویروس پروکسی پس از نصب چگونه عمل می کند؟

نصب اولیه ابزارهای تبلیغاتی مزاحم معمولی به نظر می رسد، اما پس از نصب، کاربران با یک پیام پاپ آپ فریبنده مواجه می شوند که از آنها می خواهد مرورگر وب سافاری خود را به روز کنند. با کلیک بر روی "OK"، یک پنجره بازشو دیگر از کاربران درخواست می کند تا اعتبار حساب خود را وارد کنند. این اقدام به ظاهر بی ضرر ممکن است به طور ناخواسته مجوز برنامه مشکوک را برای کنترل مرورگر سافاری اعطا کند.

علاوه بر این، نصب کننده های سرکش یک «اسکریپت bash» را اجرا می کنند که برای اتصال یک سرور راه دور و دانلود یک آرشیو .zip طراحی شده است. پس از دانلود، بایگانی استخراج می شود و یک فایل plist. موجود در آن در دایرکتوری LaunchDaemons کپی می شود.

فایل plist. حاوی ارجاع به فایل دیگری به نام «Titanium.Web.Proxy.Examples.Basic.Standard» است. علاوه بر این، دو اسکریپت تکمیلی ('change_proxy.sh' و 'trust_cert.sh') پس از راه اندازی مجدد بعدی اجرا می شوند. اسکریپت 'change_proxy.sh' تنظیمات پراکسی سیستم را برای استفاده از پراکسی HTTP/S در 'localhost:8003' تغییر می دهد.

از سوی دیگر، اسکریپت Trust_cert.sh یک گواهی SSL قابل اعتماد را در زنجیره کلید نصب می کند. این عفونت توسط مجرمان سایبری که از Titanium Web Proxy، یک پراکسی منبع باز HTTP(S) ناهمزمان که با سی شارپ (C#) نوشته شده است، سازماندهی شده است. قابل ذکر است که Titanium Web Proxy یک پلتفرم متقابل است و به آن اجازه می دهد تا بر روی سیستم عامل های مختلف از جمله MacOS کار کند.

هدف اصلی این عفونت ربودن موتورهای جستجو است که مجرمان سایبری را قادر می سازد نتایج جستجوی اینترنتی را دستکاری کنند. این رویکرد از استفاده مرسوم از موتورهای جستجوی جعلی منحرف است. در عوض، مجرمان سایبری از برنامه‌های ربودن مرورگر برای تغییر تنظیماتی مانند URL برگه جدید، موتور جستجوی پیش‌فرض و صفحه اصلی با اختصاص دادن آنها به URLهای خاص استفاده می‌کنند.

موتورهای جستجوی جعلی و ربایندگان مرورگر اغلب منجر به افزایش خطرات حریم خصوصی و امنیت می شوند

وب‌سایت‌های تبلیغاتی اغلب ظاهر موتورهای جستجوی شناخته شده و قانونی مانند بینگ، یاهو و گوگل را تقلید می‌کنند و در نگاه اول آن‌ها را عادی جلوه می‌دهند. با این حال، این موتورهای جستجوی جعلی می توانند نتایج جستجویی ایجاد کنند که کاربران را به وب سایت های بالقوه ناامن هدایت کند. علاوه بر این، کاربران ممکن است متوجه تغییراتی در تنظیمات مرورگر خود شوند، به ویژه از طریق تغییر مسیرهای مکرر به سایت های مشکوک، که نشان دهنده دستکاری احتمالی است.

در حالی که مجرمان سایبری در به کارگیری ابزارهایی مانند ویروس پروکسی با چالش هایی روبرو هستند، آنها را برای فعالیت های پلید خود قابل اعتمادتر می دانند. آنها همچنین ممکن است به اصلاح محتوای موتورهای جستجوی قانونی برای ارائه نتایج جستجوی جعلی متوسل شوند. برای مثال، اگرچه وب‌سایت موتور جستجوی Google به‌طور کامل از جمله URL، سرصفحه و پاورقی واقعی به نظر می‌رسد، اما آلودگی بخش نتایج را تغییر می‌دهد و کاربران را فریب می‌دهد تا تصور کنند نتایج جستجوی قانونی را مشاهده می‌کنند.

این رفتار فریبنده می تواند کاربران را در معرض عفونت های پرخطر مختلف قرار دهد زیرا ممکن است ناخواسته از وب سایت های ناامن بازدید کنند. علاوه بر این، مجرمان سایبری از چنین تاکتیک‌هایی برای هدایت ترافیک به وب‌سایت‌های خاص استفاده می‌کنند و آنها را قادر می‌سازند از طریق درآمد تبلیغاتی سود ببرند.

وجود ویروس پروکسی می تواند تجربه مرور را به شدت مختل کند و احتمال آلودگی بیشتر رایانه را افزایش دهد. برنامه های تبلیغاتی معمولاً تبلیغاتی از جمله کوپن ها، بنرها و پنجره های بازشو ارائه می دهند که ممکن است کاربران را به وب سایت های مشکوک هدایت کنند.

علاوه بر این، ابزارهای تبلیغاتی مزاحم ممکن است توانایی جمع آوری اطلاعات حساس کاربر مانند آدرس های IP، URL های وب سایت بازدید شده، صفحات مشاهده شده، و عبارت های جستجو را داشته باشند. این داده ها اغلب با اشخاص ثالث، از جمله مجرمان سایبری، که از آن برای منافع مالی سوء استفاده می کنند، به اشتراک گذاشته می شود. در نتیجه، ردیابی غیرمجاز اطلاعات کاربر، خطرات قابل توجهی در حفظ حریم خصوصی ایجاد می‌کند که به طور بالقوه منجر به سرقت هویت یا سایر عواقب جدی می‌شود.

PUP ها به شدت به شیوه های توزیع مشکوک متکی هستند

PUP ها برای نفوذ به سیستم های کاربران بدون رضایت صریح آنها به شدت به شیوه های توزیع مشکوک متکی هستند. در اینجا چند روش کلیدی که آنها استفاده می کنند آورده شده است:

• نرم‌افزار همراه : PUPها اغلب با دانلودهای نرم‌افزار قانونی همراه هستند. کاربران ممکن است ناخواسته PUP را در کنار نرم‌افزار مورد نظر نصب کنند، بدون اینکه متوجه شوند، زیرا تمایل دارند فرآیند نصب را بدون بررسی دقیق شرایط و ضوابط یا لغو انتخاب پیشنهادات اختیاری، عجله کنند.
• تبلیغات فریبنده : PUPها اغلب از طریق تبلیغات فریبنده تبلیغ می شوند، که ممکن است به عنوان پیشنهادات یا تبلیغات مشروع ظاهر شوند و کاربران را برای دانلود و نصب نرم افزار ترغیب کنند. این تبلیغات اغلب از زبان یا تصاویر گمراه کننده استفاده می کنند تا کاربران را فریب دهند تا روی آنها کلیک کنند.

به طور کلی، PUP ها از انواع شیوه های توزیع مشکوک برای نفوذ مخفیانه به سیستم های کاربران استفاده می کنند و از عدم آگاهی، عجله و اعتماد کاربران به منابع نرم افزاری استفاده می کنند. با درک این تاکتیک ها، کاربران می توانند اقدامات پیشگیرانه ای برای محافظت از خود در برابر نصب نرم افزارهای ناخواسته انجام دهند.