Wirus proxy
Wirus proxy, nazywany także wirusem proxy MITM, to rodzaj natrętnego programu atakującego użytkowników komputerów Mac. Aplikacja jest znana z funkcji porywania przeglądarki. Cyberprzestępcy wykorzystują podejrzane techniki dystrybucji do rozprzestrzeniania tego potencjalnie niechcianego programu (PUP), co często skutkuje cichą infiltracją komputerów bez wyraźnej zgody użytkowników. Użytkownicy powinni zdać sobie sprawę, że PUP, takie jak wirus proxy, mogą działać jako oprogramowanie reklamowe, bombardujące użytkowników natrętnymi reklamami. Ponadto są podatne na rejestrowanie aktywności przeglądania, co może zagrozić prywatności i bezpieczeństwu użytkowników.
Spis treści
Jak działa wirus proxy po zainstalowaniu?
Początkowa instalacja oprogramowania typu adware wydaje się rutynowa, ale po instalacji użytkownicy napotykają zwodniczy komunikat wyskakujący z prośbą o aktualizację przeglądarki Safari. Po kliknięciu przycisku „OK” pojawia się kolejne wyskakujące okienko z prośbą o podanie danych uwierzytelniających do konta. To pozornie nieszkodliwe działanie może niechcący udzielić podejrzanej aplikacji autoryzacji do kontrolowania przeglądarki Safari.
Ponadto nieuczciwe instalatory wykonują „skrypt bash”, którego zadaniem jest połączenie się ze zdalnym serwerem i pobranie archiwum .zip. Po pobraniu archiwum jest rozpakowywane, a zawarty w nim plik .plist kopiowany do katalogu LaunchDaemons.
Plik .plist zawiera odniesienie do innego pliku o nazwie „Titanium.Web.Proxy.Examples.Basic.Standard”. Dodatkowo po ponownym uruchomieniu komputera wykonywane są dwa dodatkowe skrypty („change_proxy.sh” i „trust_cert.sh”). Skrypt „change_proxy.sh” zmienia ustawienia systemowego serwera proxy tak, aby korzystał z serwera proxy HTTP/S pod adresem „localhost:8003”.
Z drugiej strony skrypt „trust_cert.sh” instaluje zaufany certyfikat SSL w pęku kluczy. Infekcja ta jest organizowana przez cyberprzestępców wykorzystujących Titanium Web Proxy, asynchroniczny serwer proxy HTTP(S) typu open source napisany w języku C Sharp (C#). Warto zauważyć, że Titanium Web Proxy jest wieloplatformowy, co pozwala na działanie w różnych systemach operacyjnych, w tym MacOS.
Głównym celem tej infekcji jest porywanie wyszukiwarek, umożliwiając cyberprzestępcom manipulowanie wynikami wyszukiwania w Internecie. To podejście odbiega od konwencjonalnego stosowania fałszywych wyszukiwarek; zamiast tego cyberprzestępcy wykorzystują aplikacje porywające przeglądarkę do modyfikowania ustawień, takich jak adres URL nowej karty, domyślna wyszukiwarka i strona główna, przypisując je do określonych adresów URL.
Fałszywe wyszukiwarki i porywacze przeglądarki często prowadzą do zwiększonych zagrożeń dla prywatności i bezpieczeństwa
Promowane witryny często naśladują wygląd znanych i legalnych wyszukiwarek, takich jak Bing, Yahoo i Google, dzięki czemu na pierwszy rzut oka wydają się zwyczajne. Jednak te fałszywe wyszukiwarki mogą generować wyniki wyszukiwania, które kierują użytkowników do potencjalnie niebezpiecznych stron internetowych. Dodatkowo użytkownicy mogą zauważyć zmiany w ustawieniach swojej przeglądarki, szczególnie poprzez częste przekierowania na podejrzane strony, sygnalizując potencjalną manipulację.
Chociaż cyberprzestępcy stoją przed wyzwaniami związanymi ze stosowaniem narzędzi takich jak wirus proxy, uważają, że są one bardziej niezawodne w przypadku ich nikczemnych działań. Mogą również uciekać się do modyfikowania treści legalnych wyszukiwarek, aby dostarczać fałszywe wyniki wyszukiwania. Na przykład, mimo że cała witryna wyszukiwarki Google, łącznie z adresem URL, nagłówkiem i stopką, wygląda na autentyczną, infekcja zmienia sekcję wyników, oszukując użytkowników, wierząc, że przeglądają prawidłowe wyniki wyszukiwania.
To zwodnicze zachowanie może narazić użytkowników na różne infekcje wysokiego ryzyka, ponieważ mogą oni nieświadomie odwiedzać niebezpieczne strony internetowe. Co więcej, cyberprzestępcy wykorzystują taką taktykę do kierowania ruchu do określonych witryn internetowych, umożliwiając im czerpanie zysków z przychodów z reklam.
Obecność wirusa proxy może poważnie zakłócić przeglądanie i zwiększyć prawdopodobieństwo dalszych infekcji komputerowych. Aplikacje adware często wyświetlają reklamy, w tym kuponowe, banerowe i wyskakujące okienka, które mogą przekierowywać użytkowników do podejrzanych witryn.
Co więcej, oprogramowanie reklamowe może mieć możliwość zbierania poufnych informacji o użytkowniku, takich jak adresy IP, adresy URL odwiedzanych witryn, przeglądane strony i wyszukiwane hasła. Dane te są często udostępniane stronom trzecim, w tym cyberprzestępcom, którzy wykorzystują je do celów finansowych. W związku z tym nieuprawnione śledzenie informacji o użytkowniku stwarza poważne ryzyko dla prywatności, potencjalnie prowadząc do kradzieży tożsamości lub innych poważnych konsekwencji.
PUP w dużym stopniu polegają na wątpliwych praktykach dystrybucyjnych
PUP w dużym stopniu polegają na wątpliwych praktykach dystrybucyjnych, aby infiltrować systemy użytkowników bez ich wyraźnej zgody. Oto kilka kluczowych metod, których używają:
- Dołączone oprogramowanie : PUP są często dołączane do legalnych plików do pobrania. Użytkownicy mogą nieświadomie zainstalować PUP wraz z pożądanym oprogramowaniem, nie zdając sobie z tego sprawy, ponieważ mają tendencję do pośpiechu przez proces instalacji bez dokładnego przejrzenia warunków lub odznaczenia opcjonalnych ofert.
- Zwodnicze reklamy : PUP są często promowane za pomocą zwodniczych reklam, które mogą wyglądać jak uzasadnione oferty lub promocje zachęcające użytkowników do pobrania i zainstalowania oprogramowania. Reklamy te często wykorzystują wprowadzający w błąd język lub elementy wizualne, aby nakłonić użytkowników do kliknięcia.
Ogólnie rzecz biorąc, PUP wykorzystują różnorodne podejrzane praktyki dystrybucyjne, aby potajemnie infiltrować systemy użytkowników, wykorzystując ich nieświadomość, pośpiech i zaufanie do źródeł oprogramowania. Rozumiejąc te taktyki, użytkownicy mogą podjąć proaktywne kroki w celu ochrony przed niechcianymi instalacjami oprogramowania.
