Starpniekservera vīruss
Starpniekservera vīruss, saukts arī par MITM starpniekservera vīrusu, ir uzmācīgas programmas veids, kas paredzēts Mac lietotājiem. Lietojumprogramma ir bēdīgi slavena ar pārlūkprogrammas nolaupīšanas funkcijām. Kibernoziedznieki izmanto apšaubāmus izplatīšanas paņēmienus, lai izplatītu šo potenciāli nevēlamo programmu (PUP), kā rezultātā bieži vien notiek klusa iefiltrēšanās datoros bez lietotāja skaidras piekrišanas. Lietotājiem ir svarīgi apzināties, ka PUP, tāpat kā starpniekservera vīruss, var darboties kā reklāmprogrammatūra, bombardējot lietotājus ar uzmācīgām reklāmām. Turklāt tie ir pakļauti pārlūkošanas darbību reģistrēšanai, kas var apdraudēt lietotāju privātumu un drošību.
Satura rādītājs
Kā starpniekservera vīruss darbojas pēc instalēšanas?
Sākotnējā reklāmprogrammatūras instalēšana šķiet rutīna, taču instalēšanas laikā lietotāji saskaras ar maldinošu uznirstošo ziņojumu, kas aicina atjaunināt savu Safari tīmekļa pārlūkprogrammu. Noklikšķinot uz Labi, cits uznirstošais logs aicina lietotājus ievadīt sava konta akreditācijas datus. Šī šķietami nekaitīgā darbība var netīšām piešķirt apšaubāmajai lietojumprogrammai atļauju kontrolēt pārlūkprogrammu Safari.
Turklāt negodīgi instalētāji izpilda "bash skriptu", kas paredzēts, lai izveidotu savienojumu ar attālo serveri un lejupielādētu .zip arhīvu. Pēc lejupielādes arhīvs tiek izvilkts un tajā esošais .plist fails tiek kopēts uz LaunchDaemons direktoriju.
.plist failā ir atsauce uz citu failu ar nosaukumu "Titanium.Web.Proxy.Examples.Basic.Standard". Turklāt pēc nākamās atsāknēšanas tiek izpildīti divi papildu skripti ("change_proxy.sh" un "trust_cert.sh"). Skripts "change_proxy.sh" maina sistēmas starpniekservera iestatījumus, lai izmantotu HTTP/S starpniekserveri vietnē "localhost:8003".
No otras puses, skripts “trust_cert.sh” atslēgu ķēdē instalē uzticamu SSL sertifikātu. Šo infekciju organizē kibernoziedznieki, kuri izmanto Titanium Web Proxy — atvērtā koda asinhrono HTTP(S) starpniekserveri, kas rakstīts valodā C Sharp (C#). Proti, Titanium Web Proxy ir vairāku platformu, ļaujot tai darboties dažādās operētājsistēmās, tostarp MacOS.
Šīs infekcijas galvenais mērķis ir nolaupīt meklētājprogrammas, ļaujot kibernoziedzniekiem manipulēt ar interneta meklēšanas rezultātiem. Šī pieeja atšķiras no parastās viltus meklētājprogrammu izmantošanas; tā vietā kibernoziedznieki izmanto pārlūkprogrammu nolaupīšanas lietojumprogrammas, lai mainītu iestatījumus, piemēram, jaunās cilnes URL, noklusējuma meklētājprogrammu un sākumlapu, piešķirot tos noteiktiem URL.
Viltus meklētājprogrammas un pārlūkprogrammu nolaupītāji bieži rada paaugstinātu privātuma un drošības risku
Reklamētās vietnes bieži atdarina labi zināmu un likumīgu meklētājprogrammu, piemēram, Bing, Yahoo un Google, izskatu, liekot tām pirmajā mirklī šķist parastas. Tomēr šīs viltotās meklētājprogrammas var ģenerēt meklēšanas rezultātus, kas novirza lietotājus uz potenciāli nedrošām vietnēm. Turklāt lietotāji var pamanīt izmaiņas pārlūkprogrammas iestatījumos, jo īpaši biežu novirzīšanu uz apšaubāmām vietnēm, kas norāda uz iespējamām manipulācijām.
Lai gan kibernoziedznieki saskaras ar grūtībām, izmantojot tādus rīkus kā starpniekservera vīruss, viņi uzskata, ka tie ir uzticamāki savām nežēlīgajām darbībām. Viņi var arī mainīt likumīgu meklētājprogrammu saturu, lai nodrošinātu viltotus meklēšanas rezultātus. Piemēram, lai gan Google meklētājprogrammas vietne šķiet īsta kopumā, ieskaitot URL, galveni un kājeni, infekcija maina rezultātu sadaļu, maldinot lietotājus, liekot tiem domāt, ka viņi skata likumīgus meklēšanas rezultātus.
Šāda maldinoša rīcība var pakļaut lietotājus dažādām augsta riska infekcijām, jo viņi var netīši apmeklēt nedrošas vietnes. Turklāt kibernoziedznieki izmanto šādu taktiku, lai novirzītu datplūsmu uz konkrētām vietnēm, ļaujot tiem gūt peļņu no reklāmas ieņēmumiem.
Starpniekservera vīrusa klātbūtne var nopietni traucēt pārlūkošanas pieredzi un palielināt turpmāku datoru infekciju iespējamību. Reklāmprogrammatūras lietojumprogrammas parasti apkalpo reklāmas, tostarp kuponus, reklāmkarogus un uznirstošos logus, kas var novirzīt lietotājus uz apšaubāmām vietnēm.
Turklāt reklāmprogrammatūra var apkopot sensitīvu lietotāja informāciju, piemēram, IP adreses, apmeklēto vietņu URL, skatītās lapas un meklēšanas vaicājumus. Šie dati bieži tiek kopīgoti ar trešajām pusēm, tostarp kibernoziedzniekiem, kuri tos izmanto finansiāla labuma gūšanai. Līdz ar to lietotāju informācijas nesankcionēta izsekošana rada ievērojamus privātuma riskus, kas var izraisīt identitātes zādzību vai citas nopietnas sekas.
PUP lielā mērā paļaujas uz apšaubāmu izplatīšanas praksi
PUP lielā mērā paļaujas uz apšaubāmu izplatīšanas praksi, lai iefiltrētos lietotāju sistēmās bez viņu skaidras piekrišanas. Šeit ir dažas galvenās metodes, ko viņi izmanto:
- Komplektā iekļautā programmatūra : PUP bieži tiek komplektēti ar likumīgām programmatūras lejupielādēm. Lietotāji var neapzināti instalēt PUP kopā ar vēlamo programmatūru, to neapzinoties, jo viņiem ir tendence steigā instalēšanas procesu, rūpīgi nepārskatot noteikumus un nosacījumus vai neatceļot izvēles piedāvājumu atlasi.
- Maldinoša reklāma : mazuļus bieži reklamē, izmantojot maldinošas reklāmas, kas var parādīties kā likumīgi piedāvājumi vai veicināšanas pasākumi, kas mudina lietotājus lejupielādēt un instalēt programmatūru. Šajās reklāmās bieži tiek izmantota maldinoša valoda vai vizuālie materiāli, lai mudinātu lietotājus uz tām noklikšķināt.
Kopumā PUP izmanto dažādas apšaubāmas izplatīšanas metodes, lai slepeni iefiltrētos lietotāju sistēmās, tādējādi gūstot labumu no lietotāju izpratnes trūkuma, steigas un uzticības programmatūras avotiem. Izprotot šo taktiku, lietotāji var veikt proaktīvus pasākumus, lai pasargātu sevi no nevēlamas programmatūras instalēšanas.
