Proxy virus
Proxy virus, imenovan tudi MITM proxy virus, je vrsta vsiljivega programa, namenjenega uporabnikom Mac. Aplikacija je znana po funkcijah za ugrabitev brskalnika. Kibernetski kriminalci uporabljajo dvomljive distribucijske tehnike za širjenje tega potencialno nezaželenega programa (PUP), kar pogosto povzroči tiho infiltracijo v računalnike brez izrecnega soglasja uporabnikov. Bistvenega pomena je, da uporabniki prepoznajo, da PUP-ji, tako kot virus proxy, lahko delujejo kot oglaševalska programska oprema in uporabnike bombardirajo z vsiljivimi oglasi. Poleg tega so nagnjeni k snemanju dejavnosti brskanja, kar lahko ogrozi zasebnost in varnost uporabnikov.
Kazalo
Kako deluje virus proxy po namestitvi?
Začetna namestitev oglaševalske programske opreme se zdi rutinska, vendar po namestitvi uporabniki naletijo na zavajajoče pojavno sporočilo, ki jih poziva, naj posodobijo svoj spletni brskalnik Safari. Po kliku »V redu« drugo pojavno okno od uporabnikov zahteva, da vnesejo svoje poverilnice računa. To na videz neškodljivo dejanje lahko dvomljivi aplikaciji nehote podeli pooblastilo za nadzor nad brskalnikom Safari.
Poleg tega lažni namestitveni programi izvedejo 'skript bash', ki je zasnovan za povezavo z oddaljenim strežnikom in prenos arhiva .zip. Po prenosu se arhiv ekstrahira in datoteka .plist, ki jo vsebuje, se prekopira v imenik LaunchDaemons.
Datoteka .plist vsebuje sklic na drugo datoteko z imenom 'Titanium.Web.Proxy.Examples.Basic.Standard.' Poleg tega se po naslednjem ponovnem zagonu izvedeta dva dodatna skripta ('change_proxy.sh' in 'trust_cert.sh'). Skript 'change_proxy.sh' spremeni nastavitve sistemskega proxyja za uporabo proxyja HTTP/S na 'localhost:8003.'
Po drugi strani pa skript 'trust_cert.sh' namesti zaupanja vredno potrdilo SSL v obesek ključev. To okužbo so orkestrirali kibernetski kriminalci, ki uporabljajo Titanium Web Proxy, odprtokodni asinhroni proxy HTTP(S), napisan v C Sharp (C#). Predvsem je Titanium Web Proxy večplatformski, kar mu omogoča delovanje v različnih operacijskih sistemih, vključno z MacOS.
Glavni cilj te okužbe je ugrabitev iskalnikov, ki kibernetskim kriminalcem omogoči manipulacijo rezultatov internetnega iskanja. Ta pristop odstopa od običajne uporabe lažnih iskalnikov; namesto tega kibernetski kriminalci izkoristijo aplikacije za ugrabitev brskalnika, da spremenijo nastavitve, kot so URL novega zavihka, privzeti iskalnik in domača stran, tako da jih dodelijo določenim URL-jem.
Lažni iskalniki in ugrabitelji brskalnikov pogosto povzročijo povečana tveganja za zasebnost in varnost
Promovirana spletna mesta pogosto posnemajo videz dobro znanih in zakonitih iskalnikov, kot so Bing, Yahoo in Google, zaradi česar so na prvi pogled videti običajna. Vendar lahko ti lažni iskalniki ustvarijo rezultate iskanja, ki uporabnike usmerijo na potencialno nevarna spletna mesta. Poleg tega lahko uporabniki opazijo spremembe v nastavitvah brskalnika, zlasti zaradi pogostih preusmeritev na dvomljiva spletna mesta, kar nakazuje na morebitno manipulacijo.
Medtem ko se kibernetski kriminalci soočajo z izzivi pri uporabi orodij, kot je virus proxy, se jim zdijo bolj zanesljiva za njihove nečedne dejavnosti. Prav tako se lahko zatečejo k spreminjanju vsebine zakonitih iskalnikov, da zagotovijo lažne rezultate iskanja. Na primer, čeprav je spletno mesto iskalnika Google v celoti videti pristno, vključno z URL-jem, glavo in nogo, okužba spremeni razdelek z rezultati in uporabnike zavede, da verjamejo, da gledajo legitimne rezultate iskanja.
To zavajajoče vedenje lahko uporabnike izpostavi različnim visoko tveganim okužbam, saj lahko nehote obiščejo nevarna spletna mesta. Poleg tega kibernetski kriminalci izkoriščajo takšne taktike za usmerjanje prometa na določena spletna mesta, kar jim omogoča dobiček s prihodki od oglaševanja.
Prisotnost virusa proxy bi lahko resno motila izkušnjo brskanja in povečala verjetnost nadaljnjih okužb računalnika. Aplikacije oglaševalske programske opreme običajno prikazujejo oglase, vključno s kuponi, pasicami in pojavnimi okni, ki lahko uporabnike preusmerijo na dvomljiva spletna mesta.
Poleg tega ima lahko oglaševalska programska oprema zmožnost zbiranja občutljivih uporabniških podatkov, kot so naslovi IP, URL-ji obiskanih spletnih mest, ogledane strani in iskalne poizvedbe. Ti podatki se pogosto delijo s tretjimi osebami, vključno s kibernetskimi kriminalci, ki jih izkoriščajo za finančni dobiček. Posledično nepooblaščeno sledenje uporabniških podatkov predstavlja veliko tveganje za zasebnost, ki lahko vodi do kraje identitete ali drugih resnih posledic.
PUP se močno zanašajo na vprašljive distribucijske prakse
PUP-ji se močno zanašajo na vprašljive distribucijske prakse za infiltracijo v sisteme uporabnikov brez njihovega izrecnega soglasja. Tukaj je nekaj ključnih metod, ki jih uporabljajo:
- Priložena programska oprema : PUP-ji so pogosto priloženi zakonitim prenosom programske opreme. Uporabniki lahko nehote namestijo PUP skupaj z želeno programsko opremo, ne da bi se tega zavedali, saj ponavadi hitijo skozi postopek namestitve, ne da bi natančno pregledali določila in pogoje ali preklicali izbor izbirnih ponudb.
- Zavajajoče oglaševanje : PUP-ji se pogosto oglašujejo prek zavajajočih oglasov, ki so lahko videti kot zakonite ponudbe ali promocije, ki uporabnike napeljejo k prenosu in namestitvi programske opreme. Ti oglasi pogosto uporabljajo zavajajoč jezik ali vizualne elemente, da uporabnike zavedejo, da jih kliknejo.
Na splošno PUP uporabljajo različne vprašljive distribucijske prakse za prikrito infiltracijo v uporabniške sisteme, pri čemer izkoriščajo uporabnikovo pomanjkanje ozaveščenosti, naglice in zaupanja v vire programske opreme. Z razumevanjem teh taktik lahko uporabniki sprejmejo proaktivne ukrepe za zaščito pred namestitvijo neželene programske opreme.
