Välityspalvelinvirus
Välityspalvelinvirus, josta käytetään myös nimitystä MITM Proxy Virus, on Mac-käyttäjille suunnattu tunkeileva ohjelma. Sovellus on tunnettu selainkaappausominaisuuksistaan. Kyberrikolliset käyttävät kyseenalaisia jakelutekniikoita levittääkseen tätä potentiaalisesti ei-toivottua ohjelmaa (PUP), mikä usein johtaa hiljaiseen tunkeutumiseen tietokoneisiin ilman käyttäjien nimenomaista suostumusta. Käyttäjien on tärkeää ymmärtää, että PUP:t, kuten Proxy Virus, voivat toimia mainosohjelmina, jotka pommittavat käyttäjiä häiritsevällä mainoksilla. Lisäksi ne ovat alttiita tallentamaan selaustoimintaa, mikä saattaa vaarantaa käyttäjien yksityisyyden ja turvallisuuden.
Sisällysluettelo
Kuinka välityspalvelinvirus toimii asennuksen jälkeen?
Mainosohjelmien ensimmäinen asennus näyttää rutiinilta, mutta asennuksen yhteydessä käyttäjät näkevät harhaanjohtavan ponnahdusviestin, joka kehottaa heitä päivittämään Safari-selaimen. Kun napsautat OK, toinen ponnahdusikkuna pyytää käyttäjiä syöttämään tilinsä tunnistetiedot. Tämä näennäisesti harmitonta toimenpide voi vahingossa myöntää epäilyttävälle sovellukselle luvan hallita Safari-selainta.
Lisäksi rogue-asentajat suorittavat "bash-skriptin", joka on suunniteltu yhdistämään etäpalvelimeen ja lataamaan .zip-arkisto. Kun arkisto on ladattu, se puretaan ja sen sisältämä .plist-tiedosto kopioidaan LaunchDaemons-hakemistoon.
.plist-tiedosto sisältää viittauksen toiseen tiedostoon, jonka nimi on "Titanium.Web.Proxy.Examples.Basic.Standard". Lisäksi kaksi lisäkomentosarjaa ("change_proxy.sh" ja "trust_cert.sh") suoritetaan seuraavan uudelleenkäynnistyksen jälkeen. Komentosarja "change_proxy.sh" muuttaa järjestelmän välityspalvelimen asetuksia käyttämään HTTP/S-välityspalvelinta osoitteessa "localhost:8003".
Toisaalta "trust_cert.sh"-komentosarja asentaa luotetun SSL-varmenteen avainnippuun. Tämän tartunnan järjestävät kyberrikolliset, jotka hyödyntävät Titanium Web Proxya, avoimen lähdekoodin asynkronista HTTP(S)-välityspalvelinta, joka on kirjoitettu C Sharp (C#) -kielellä. Titanium Web Proxy on monialustainen, joten se voi toimia useissa käyttöjärjestelmissä, mukaan lukien MacOS.
Tämän tartunnan ensisijainen tavoite on kaapata hakukoneet, jolloin verkkorikolliset voivat manipuloida Internetin hakutuloksia. Tämä lähestymistapa poikkeaa väärennettyjen hakukoneiden tavanomaisesta käytöstä; sen sijaan verkkorikolliset hyödyntävät selaimen kaappaussovelluksia muuttaakseen asetuksia, kuten uuden välilehden URL-osoitetta, oletushakukonetta ja kotisivua, määrittämällä ne tiettyihin URL-osoitteisiin.
Väärennetyt hakukoneet ja selaimen kaappaajat johtavat usein lisääntyneisiin tietosuoja- ja turvallisuusriskeihin
Mainostetut verkkosivustot jäljittelevät usein tunnettujen ja laillisten hakukoneiden, kuten Bingin, Yahoon ja Googlen, ulkonäköä, mikä saa ne näyttämään tavallisilta ensi silmäyksellä. Nämä väärennetyt hakukoneet voivat kuitenkin luoda hakutuloksia, jotka ohjaavat käyttäjät mahdollisesti vaarallisille verkkosivustoille. Lisäksi käyttäjät voivat huomata muutoksia selainasetuksissaan, erityisesti toistuvilla uudelleenohjauksilla epäilyttävälle sivustolle, mikä merkitsee mahdollista manipulointia.
Vaikka kyberrikolliset kohtaavat haasteita käyttää välityspalvelimen kaltaisia työkaluja, he pitävät niitä luotettavampina ilkeissä toimissaan. He voivat myös turvautua laillisten hakukoneiden sisällön muokkaamiseen tuottaakseen vääriä hakutuloksia. Esimerkiksi vaikka Google-hakukoneen verkkosivusto näyttää kokonaisuudessaan aidolta, mukaan lukien URL-osoite, ylä- ja alatunniste, tartunta muuttaa tulososiota ja pettää käyttäjiä uskomaan, että he katsovat oikeita hakutuloksia.
Tämä petollinen toiminta voi altistaa käyttäjät useille riskialttiille infektioille, koska he voivat vierailla tahattomasti vaarallisilla verkkosivustoilla. Lisäksi kyberrikolliset käyttävät hyväkseen tällaisia taktiikoita ohjatakseen liikennettä tietyille verkkosivustoille, jolloin he voivat hyötyä mainostuloista.
Välityspalvelinviruksen läsnäolo voi häiritä vakavasti selauskokemusta ja lisätä uusien tietokonetartuntojen todennäköisyyttä. Mainosohjelmat tarjoavat yleensä mainoksia, kuten kuponkeja, bannereita ja ponnahdusikkunoita, jotka voivat ohjata käyttäjiä epäilyttävälle sivustolle.
Lisäksi mainosohjelmat voivat kerätä arkaluonteisia käyttäjätietoja, kuten IP-osoitteita, vierailtujen verkkosivustojen URL-osoitteita, katsottuja sivuja ja hakukyselyitä. Nämä tiedot jaetaan usein kolmansille osapuolille, mukaan lukien kyberrikolliset, jotka käyttävät niitä hyväkseen taloudellisen hyödyn saamiseksi. Näin ollen käyttäjätietojen luvaton seuranta aiheuttaa merkittäviä tietosuojariskejä, jotka voivat johtaa identiteettivarkauksiin tai muihin vakaviin seurauksiin.
PUP-lapset luottavat vahvasti kyseenalaisiin jakelukäytäntöihin
PUPit luottavat voimakkaasti kyseenalaisiin jakelukäytäntöihin soluttautuakseen käyttäjien järjestelmiin ilman heidän nimenomaista suostumustaan. Tässä on joitain keskeisiä menetelmiä, joita he käyttävät:
- Mukana olevat ohjelmistot : PUP:t toimitetaan usein laillisten ohjelmistolatausten mukana. Käyttäjät voivat tahattomasti asentaa PUP:n halutun ohjelmiston rinnalle tietämättään, koska heillä on tapana kiirehtiä asennusprosessin läpi tarkistamatta huolellisesti ehtoja tai poistamatta valinnaisia tarjouksia.
- Harhaanjohtava mainonta : Pentuja mainostetaan usein harhaanjohtavilla mainoksilla, jotka voivat näkyä laillisina tarjouksina tai kampanjoina, jotka houkuttelevat käyttäjiä lataamaan ja asentamaan ohjelmiston. Näissä mainoksissa käytetään usein harhaanjohtavaa kielenkäyttöä tai visuaalisia kuvia huijatakseen käyttäjät napsauttamaan niitä.
Kaiken kaikkiaan PUP:t käyttävät erilaisia kyseenalaisia jakelukäytäntöjä tunkeutuakseen salaa käyttäjien järjestelmiin hyödyntäen käyttäjien tietoisuuden puutetta, kiirettä ja luottamusta ohjelmistolähteisiin. Ymmärtämällä nämä taktiikat käyttäjät voivat ryhtyä ennakoiviin toimiin suojautuakseen ei-toivotuilta ohjelmistoasennuksilta.