Proxy-virus
Proxy Virus, også referert til som MITM Proxy Virus, er en type påtrengende program rettet mot Mac-brukere. Applikasjonen er beryktet for sine nettleserkapringsfunksjoner. Nettkriminelle bruker tvilsomme distribusjonsteknikker for å spre dette potensielt uønskede programmet (PUP), som ofte resulterer i en stille infiltrasjon i datamaskiner uten brukernes eksplisitte samtykke. Det er viktig for brukere å erkjenne at PUP-er, som Proxy-viruset, kan fungere som adware, og bombardere brukere med påtrengende reklame. I tillegg er de tilbøyelige til å registrere nettleseraktivitet, og potensielt kompromittere brukernes personvern og sikkerhet.
Innholdsfortegnelse
Hvordan fungerer proxy-viruset når det er installert?
Den første installasjonen av adware virker rutinemessig, men ved installasjonen møter brukerne en villedende popup-melding som ber dem om å oppdatere Safari-nettleseren. Når du klikker "OK", ber et annet popup-vindu brukere om å legge inn kontolegitimasjonen. Denne tilsynelatende ufarlige handlingen kan utilsiktet gi den tvilsomme applikasjonen autorisasjon til å kontrollere Safari-nettleseren.
Videre kjører useriøse installatører et "bash-skript" designet for å koble til en ekstern server og laste ned et .zip-arkiv. Når det er lastet ned, trekkes arkivet ut, og en .plist-fil i det kopieres til LaunchDaemons-katalogen.
.plist-filen inneholder en referanse til en annen fil med navnet 'Titanium.Web.Proxy.Examples.Basic.Standard.' I tillegg kjøres to tilleggsskript ('change_proxy.sh' og 'trust_cert.sh') etter den påfølgende omstarten. 'change_proxy.sh'-skriptet endrer systemproxy-innstillingene for å bruke en HTTP/S-proxy på 'localhost:8003.'
På den annen side installerer 'trust_cert.sh'-skriptet et pålitelig SSL-sertifikat i nøkkelringen. Denne infeksjonen er orkestrert av nettkriminelle som utnytter Titanium Web Proxy, en åpen kildekode asynkron HTTP(S)-proxy skrevet i C Sharp (C#). Spesielt er Titanium Web Proxy på tvers av plattformer, slik at den kan operere på forskjellige operativsystemer, inkludert MacOS.
Hovedmålet med denne infeksjonen er å kapre søkemotorer, slik at nettkriminelle kan manipulere søkeresultater på Internett. Denne tilnærmingen avviker fra den konvensjonelle bruken av falske søkemotorer; i stedet utnytter nettkriminelle nettleserkapringsapplikasjoner for å endre innstillinger som den nye fanens URL, standard søkemotor og hjemmeside ved å tilordne dem til spesifikke URL-er.
Falske søkemotorer og nettleserkaprere fører ofte til økt personvern og sikkerhetsrisiko
Markedsførte nettsteder etterligner ofte utseendet til kjente og legitime søkemotorer som Bing, Yahoo og Google, slik at de ser vanlige ut ved første øyekast. Imidlertid kan disse falske søkemotorene generere søkeresultater som leder brukere til potensielt usikre nettsteder. I tillegg kan brukere legge merke til endringer i nettleserinnstillingene, spesielt gjennom hyppige omdirigeringer til tvilsomme nettsteder, som signaliserer potensiell manipulasjon.
Mens nettkriminelle møter utfordringer med å bruke verktøy som proxy-viruset, synes de at de er mer pålitelige for sine uhyggelige aktiviteter. De kan også ty til å endre innholdet i legitime søkemotorer for å levere falske søkeresultater. For eksempel, selv om nettstedet til Googles søkemotor fremstår som ekte i sin helhet, inkludert URL, topptekst og bunntekst, endrer infeksjonen resultatdelen, og lurer brukerne til å tro at de ser på legitime søkeresultater.
Denne villedende oppførselen kan utsette brukere for ulike høyrisikoinfeksjoner ettersom de uforvarende kan besøke usikre nettsteder. Dessuten utnytter nettkriminelle slike taktikker for å lede trafikk til spesifikke nettsteder, slik at de kan tjene penger gjennom annonseinntekter.
Tilstedeværelsen av proxy-viruset kan alvorlig forstyrre nettleseropplevelsen og øke sannsynligheten for ytterligere datainfeksjoner. Adware-applikasjoner serverer ofte reklame, inkludert kuponger, bannere og popup-vinduer, som kan omdirigere brukere til tvilsomme nettsteder.
Videre kan adware ha muligheten til å samle inn sensitiv brukerinformasjon som IP-adresser, besøkte webadresser, viste sider og søk. Disse dataene deles ofte med tredjeparter, inkludert nettkriminelle, som utnytter dem for økonomisk vinning. Følgelig utgjør uautorisert sporing av brukerinformasjon betydelig personvernrisiko, som potensielt kan føre til identitetstyveri eller andre alvorlige konsekvenser.
PUP-er stoler sterkt på tvilsom distribusjonspraksis
PUP-er er sterkt avhengige av tvilsom distribusjonspraksis for å infiltrere brukernes systemer uten deres uttrykkelige samtykke. Her er noen nøkkelmetoder de bruker:
- Medfølgende programvare : PUP-er er ofte buntet med legitime programvarenedlastinger. Brukere kan uforvarende installere PUP ved siden av ønsket programvare uten å være klar over det, da de har en tendens til å haste gjennom installasjonsprosessen uten å nøye gjennomgå vilkårene og betingelsene eller velge bort valgfrie tilbud.
- Villedende annonsering : PUP-er markedsføres ofte gjennom villedende annonser, som kan fremstå som legitime tilbud eller kampanjer som lokker brukere til å laste ned og installere programvaren. Disse annonsene bruker ofte villedende språk eller bilder for å lure brukere til å klikke på dem.
Totalt sett bruker PUP-er en rekke tvilsomme distribusjonspraksis for å infiltrere brukernes systemer i det skjulte, og utnytte brukernes manglende bevissthet, hastverk og tillit til programvarekilder. Ved å forstå disse taktikkene kan brukere ta proaktive tiltak for å beskytte seg mot uønskede programvareinstallasjoner.
