Multi-License Discount Quote
База данных угроз Mac Malware Прокси-вирус

Прокси-вирус

К Mezo году в Mac Malware, Adware, Browser Hijackers, Потенциально нежелательные программы году
Перевести на:
Русский

Прокси-вирус, также называемый прокси-вирусом MITM, представляет собой тип интрузивной программы, нацеленной на пользователей Mac. Приложение печально известно своими функциями взлома браузера. Киберпреступники используют сомнительные методы распространения для распространения этой потенциально нежелательной программы (ПНП), что часто приводит к скрытому проникновению в компьютеры без явного согласия пользователей. Пользователям важно осознавать, что ПНП, как и прокси-вирус, могут действовать как рекламное ПО, бомбардируя пользователей навязчивой рекламой. Кроме того, они склонны записывать действия в Интернете, что потенциально ставит под угрозу конфиденциальность и безопасность пользователей.

Как действует прокси-вирус после установки?

Первоначальная установка рекламного ПО кажется рутинной, но после установки пользователи сталкиваются с обманчивым всплывающим сообщением, предлагающим обновить веб-браузер Safari. После нажатия «ОК» другое всплывающее окно предлагает пользователям ввести учетные данные своей учетной записи. Это, казалось бы, безобидное действие может непреднамеренно предоставить сомнительному приложению разрешение на управление браузером Safari.

Кроме того, мошеннические установщики выполняют «bash-скрипт», предназначенный для подключения к удаленному серверу и загрузки ZIP-архива. После загрузки архив извлекается и содержащийся в нем файл .plist копируется в каталог LaunchDaemons.

Файл .plist содержит ссылку на другой файл с именем Titanium.Web.Proxy.Examples.Basic.Standard. Кроме того, после последующей перезагрузки выполняются два дополнительных сценария («change_proxy.sh» и «trust_cert.sh»). Скрипт «change_proxy.sh» изменяет настройки системного прокси-сервера для использования прокси-сервера HTTP/S по адресу «localhost:8003».

С другой стороны, сценарийtrust_cert.sh устанавливает доверенный сертификат SSL в цепочку ключей. Это заражение организовано киберпреступниками, которые используют Titanium Web Proxy, асинхронный HTTP(S)-прокси с открытым исходным кодом, написанный на C Sharp (C#). Примечательно, что Titanium Web Proxy является кроссплатформенным, что позволяет ему работать в различных операционных системах, включая MacOS.

Основной целью этой инфекции является захват поисковых систем, позволяющий киберпреступникам манипулировать результатами поиска в Интернете. Этот подход отличается от традиционного использования фейковых поисковых систем; вместо этого киберпреступники используют приложения для перехвата браузера для изменения таких настроек, как URL-адрес новой вкладки, поисковая система по умолчанию и домашняя страница, назначая их конкретным URL-адресам.

Поддельные поисковые системы и угонщики браузеров часто приводят к увеличению рисков конфиденциальности и безопасности.

Продвигаемые веб-сайты часто имитируют внешний вид известных и законных поисковых систем, таких как Bing, Yahoo и Google, что на первый взгляд делает их обычными. Однако эти фальшивые поисковые системы могут генерировать результаты поиска, которые направляют пользователей на потенциально небезопасные веб-сайты. Кроме того, пользователи могут заметить изменения в настройках своего браузера, особенно из-за частых перенаправлений на сомнительные сайты, что сигнализирует о возможных манипуляциях.

Хотя киберпреступники сталкиваются с проблемами при использовании таких инструментов, как прокси-вирус, они считают их более надежными для своей гнусной деятельности. Они также могут прибегнуть к изменению содержимого законных поисковых систем для предоставления поддельных результатов поиска. Например, хотя веб-сайт поисковой системы Google выглядит подлинным во всей своей полноте, включая URL-адрес, верхний и нижний колонтитулы, инфекция изменяет раздел результатов, заставляя пользователей поверить в то, что они просматривают законные результаты поиска.

Такое обманное поведение может подвергнуть пользователей различным инфекциям высокого риска, поскольку они могут невольно посещать небезопасные веб-сайты. Более того, киберпреступники используют такую тактику для привлечения трафика на определенные веб-сайты, что позволяет им получать прибыль за счет доходов от рекламы.

Присутствие прокси-вируса может серьезно нарушить работу в Интернете и увеличить вероятность дальнейшего заражения компьютера. Рекламные приложения обычно отображают рекламу, включая купоны, баннеры и всплывающие окна, которые могут перенаправлять пользователей на сомнительные веб-сайты.

Кроме того, рекламное ПО может иметь возможность собирать конфиденциальную информацию о пользователях, такую как IP-адреса, URL-адреса посещенных веб-сайтов, просмотренные страницы и поисковые запросы. Эти данные часто передаются третьим лицам, в том числе киберпреступникам, которые используют их для получения финансовой выгоды. Следовательно, несанкционированное отслеживание пользовательской информации создает значительные риски для конфиденциальности, что потенциально может привести к краже личных данных или другим серьезным последствиям.

ПНП во многом полагаются на сомнительные методы распространения

ПНП в значительной степени полагаются на сомнительные методы распространения для проникновения в системы пользователей без их явного согласия. Вот некоторые ключевые методы, которые они используют:

  • Программное обеспечение в комплекте : ПНП часто поставляются в комплекте с легальным загрузкой программного обеспечения. Пользователи могут невольно установить ПНП вместе с желаемым программным обеспечением, даже не осознавая этого, поскольку они склонны торопиться с процессом установки, не внимательно изучая условия и не отменяя выбор дополнительных предложений.
  • Обманчивая реклама : ПНП часто рекламируются посредством обманной рекламы, которая может выглядеть как законные предложения или рекламные акции, побуждающие пользователей загрузить и установить программное обеспечение. В этих рекламных объявлениях часто используется вводящий в заблуждение язык или визуальные эффекты, чтобы заставить пользователей нажать на них.
  • Поддельные обновления и оповещения . ПНП могут маскироваться под обновления программного обеспечения или системные оповещения, побуждая пользователей загружать и устанавливать то, что выглядит критическим обновлением или исправлениями безопасности. На самом деле эти обновления часто являются прикрытием для установки ПНП, эксплуатируя доверие пользователей к обновлениям программного обеспечения для получения несанкционированного доступа к их системам.
  • Фишинг и социальная инженерия . ПНП также могут использовать тактику фишинга и методы социальной инженерии, чтобы манипулировать пользователями и заставить их установить их. Это может включать в себя мошеннические электронные письма или сообщения, которые кажутся исходящими из надежных источников, призывающие пользователей загружать и устанавливать программное обеспечение для решения предполагаемых проблем или разблокировать эксклюзивный контент.
  • Бесплатные и условно-бесплатные платформы . ПНП часто распространяются через бесплатные и условно-бесплатные платформы, где пользователи могут загружать программное обеспечение бесплатно или по сниженной цене. Эти платформы могут неадекватно проверять программное обеспечение, которое они размещают, что позволяет ПНП проскальзывать сквозь щели и достигать ничего не подозревающих пользователей.

    • В целом, ПНП используют различные сомнительные методы распространения для тайного проникновения в системы пользователей, извлекая выгоду из недостаточной осведомленности пользователей, спешки и доверия к источникам программного обеспечения. Понимая эту тактику, пользователи могут принимать превентивные меры для защиты от нежелательной установки программного обеспечения.

    В тренде

    Наиболее просматриваемые

    Загрузка...