프록시 바이러스

MITM 프록시 바이러스라고도 하는 프록시 바이러스는 Mac 사용자를 대상으로 하는 침입 프로그램 유형입니다. 이 애플리케이션은 브라우저 하이재킹 기능으로 악명 높습니다. 사이버 범죄자는 잠재적으로 원하지 않는 프로그램(PUP)을 전파하기 위해 모호한 배포 기술을 사용하며, 종종 사용자의 명시적인 동의 없이 컴퓨터에 조용히 침투하는 결과를 낳습니다. 프록시 바이러스와 같은 PUP가 애드웨어로 작동하여 사용자에게 침입 광고를 퍼붓을 수 있다는 점을 사용자가 인식하는 것이 중요합니다. 또한 탐색 활동을 기록하는 경향이 있어 사용자의 개인 정보 보호 및 보안이 침해될 가능성이 있습니다.

프록시 바이러스는 설치되면 어떻게 작동합니까?

애드웨어의 초기 설치는 일상적인 것처럼 보이지만 설치 시 사용자는 Safari 웹 브라우저를 업데이트하라는 사기성 팝업 메시지를 접하게 됩니다. '확인'을 클릭하면 사용자에게 계정 자격 증명을 입력하라는 또 다른 팝업이 표시됩니다. 겉으로는 무해해 보이는 이 작업은 의도치 않게 Safari 브라우저를 제어할 수 있는 모호한 애플리케이션 인증을 부여할 수 있습니다.

또한, 악성 설치 프로그램은 원격 서버에 연결하고 .zip 아카이브를 다운로드하도록 설계된 'bash 스크립트'를 실행합니다. 다운로드되면 아카이브가 추출되고 그 안에 포함된 .plist 파일이 LaunchDaemons 디렉터리에 복사됩니다.

.plist 파일에는 'Titanium.Web.Proxy.Examples.Basic.Standard'라는 다른 파일에 대한 참조가 포함되어 있습니다. 또한 후속 재부팅 후에 두 개의 보충 스크립트('change_proxy.sh' 및 'trust_cert.sh')가 실행됩니다. 'change_proxy.sh' 스크립트는 'localhost:8003'에서 HTTP/S 프록시를 활용하도록 시스템 프록시 설정을 변경합니다.

반면 'trust_cert.sh' 스크립트는 신뢰할 수 있는 SSL 인증서를 키체인에 설치합니다. 이 감염은 C Sharp(C#)로 작성된 오픈 소스 비동기 HTTP(S) 프록시인 Titanium Web Proxy를 활용하는 사이버 범죄자에 의해 조직됩니다. 특히 Titanium Web Proxy는 크로스 플랫폼이므로 MacOS를 포함한 다양한 운영 체제에서 작동할 수 있습니다.

이 감염의 주요 목적은 검색 엔진을 탈취하여 사이버 범죄자가 인터넷 검색 결과를 조작할 수 있도록 하는 것입니다. 이 접근 방식은 가짜 검색 엔진의 기존 사용에서 벗어납니다. 대신 사이버 범죄자는 브라우저 하이재킹 애플리케이션을 활용하여 새 탭 URL, 기본 검색 엔진, 홈페이지 등의 설정을 특정 URL에 할당하여 수정합니다.

가짜 검색 엔진과 브라우저 하이재커로 인해 개인 정보 보호 및 보안 위험이 증가하는 경우가 많습니다.

홍보된 웹사이트는 종종 Bing, Yahoo, Google과 같은 유명하고 합법적인 검색 엔진의 모습을 모방하여 언뜻 보기에 평범해 보입니다. 그러나 이러한 가짜 검색 엔진은 사용자를 잠재적으로 안전하지 않은 웹사이트로 연결하는 검색 결과를 생성할 수 있습니다. 또한 사용자는 특히 모호한 사이트로의 빈번한 리디렉션을 통해 브라우저 설정의 변경 사항을 발견하여 잠재적인 조작을 알릴 수 있습니다.

사이버 범죄자는 프록시 바이러스와 같은 도구를 사용하는 데 어려움을 겪지만 사악한 활동에는 프록시 바이러스가 더 안정적이라는 것을 알게 됩니다. 또한 합법적인 검색 엔진의 콘텐츠를 수정하여 가짜 검색 결과를 제공할 수도 있습니다. 예를 들어, Google 검색 엔진의 웹사이트는 URL, 머리글 및 바닥글을 포함하여 전체가 진짜인 것처럼 보이지만 감염으로 인해 결과 섹션이 변경되어 사용자가 합법적인 검색 결과를 보고 있다고 믿도록 속입니다.

이러한 기만적인 행동으로 인해 사용자는 자신도 모르게 안전하지 않은 웹사이트를 방문할 수 있어 다양한 고위험 감염에 노출될 수 있습니다. 또한 사이버 범죄자는 이러한 전술을 악용하여 특정 웹사이트로 트래픽을 유도하여 광고 수익을 통해 이익을 얻습니다.

프록시 바이러스의 존재는 브라우징 경험을 심각하게 방해하고 추가 컴퓨터 감염 가능성을 높일 수 있습니다. 애드웨어 애플리케이션은 일반적으로 쿠폰, 배너, 팝업 등의 광고를 제공하여 사용자를 의심스러운 웹사이트로 리디렉션할 수 있습니다.

또한 애드웨어에는 IP 주소, 방문한 웹사이트 URL, 조회한 페이지, 검색어 등 민감한 사용자 정보를 수집하는 기능이 있을 수 있습니다. 이 데이터는 금전적 이익을 위해 이를 이용하는 사이버 범죄자를 포함한 제3자와 공유되는 경우가 많습니다. 결과적으로, 사용자 정보에 대한 무단 추적은 심각한 개인 정보 위험을 야기하며 잠재적으로 신원 도용 또는 기타 심각한 결과를 초래할 수 있습니다.

PUP는 의심스러운 유통 관행에 크게 의존합니다.

PUP는 명시적인 동의 없이 사용자 시스템에 침투하기 위해 의심스러운 배포 방식에 크게 의존합니다. 그들이 사용하는 몇 가지 주요 방법은 다음과 같습니다.

• 번들 소프트웨어 : PUP는 종종 합법적인 소프트웨어 다운로드와 함께 번들로 제공됩니다. 사용자는 이용 약관을 주의 깊게 검토하거나 옵션 제안을 선택 취소하지 않고 설치 프로세스를 서두르는 경향이 있기 때문에 자신도 모르게 원하는 소프트웨어와 함께 PUP를 설치할 수 있습니다.
• 사기성 광고 : PUP는 사기성 광고를 통해 홍보되는 경우가 많습니다. 이는 사용자가 소프트웨어를 다운로드하고 설치하도록 유도하는 합법적인 제안이나 프로모션으로 나타날 수 있습니다. 이러한 광고는 사용자가 클릭하도록 속이기 위해 오해의 소지가 있는 언어나 시각적 요소를 사용하는 경우가 많습니다.

전반적으로 PUP는 소프트웨어 소스에 대한 사용자의 인식 부족, 성급함 및 신뢰 부족을 이용하여 사용자의 시스템에 은밀하게 침투하기 위해 의심스러운 다양한 배포 관행을 사용합니다. 이러한 전략을 이해함으로써 사용자는 원치 않는 소프트웨어 설치로부터 자신을 보호하기 위한 사전 조치를 취할 수 있습니다.