Proxyvirus
Proxyviruset, även kallat MITM Proxy Virus, är en typ av påträngande program som riktar sig till Mac-användare. Applikationen är ökänd för sina webbläsarkapningsfunktioner. Cyberkriminella använder tvivelaktiga distributionstekniker för att sprida detta potentiellt oönskade program (PUP), vilket ofta resulterar i en tyst infiltration i datorer utan användarnas uttryckliga medgivande. Det är viktigt för användare att inse att PUPs, som proxyviruset, kan fungera som adware och bombardera användare med påträngande reklam. Dessutom är de benägna att registrera surfaktivitet, vilket potentiellt äventyrar användarnas integritet och säkerhet.
Innehållsförteckning
Hur fungerar proxyviruset när det är installerat?
Den första installationen av adware verkar rutinmässig, men vid installationen stöter användare på ett vilseledande popup-meddelande som uppmanar dem att uppdatera sin webbläsare Safari. När du klickar på "OK", uppmanar ett annat popup-fönster användare att ange sina kontouppgifter. Denna till synes ofarliga åtgärd kan oavsiktligt ge den tvivelaktiga applikationen behörighet att styra webbläsaren Safari.
Dessutom kör oseriösa installatörer ett "bash-script" utformat för att ansluta en fjärrserver och ladda ner ett .zip-arkiv. När det har laddats ner extraheras arkivet och en .plist-fil som finns i det kopieras till LaunchDaemons-katalogen.
.plist-filen innehåller en referens till en annan fil med namnet "Titanium.Web.Proxy.Examples.Basic.Standard." Dessutom exekveras två kompletterande skript ('change_proxy.sh' och 'trust_cert.sh') efter den efterföljande omstarten. Skriptet 'change_proxy.sh' ändrar systemproxyinställningarna för att använda en HTTP/S-proxy på 'localhost:8003'.
Å andra sidan installerar skriptet 'trust_cert.sh' ett pålitligt SSL-certifikat i nyckelringen. Denna infektion orkestreras av cyberkriminella som använder Titanium Web Proxy, en asynkron HTTP(S)-proxy med öppen källkod skriven i C Sharp (C#). Titanium Web Proxy är särskilt plattformsoberoende, vilket gör att den kan fungera på olika operativsystem, inklusive MacOS.
Det primära syftet med denna infektion är att kapa sökmotorer, vilket gör det möjligt för cyberbrottslingar att manipulera sökresultat på Internet. Detta tillvägagångssätt avviker från den konventionella användningen av falska sökmotorer; istället använder cyberkriminella program för kapning av webbläsare för att ändra inställningar som den nya flikens URL, standardsökmotorn och hemsidan genom att tilldela dem till specifika webbadresser.
Falska sökmotorer och webbläsarkapare leder ofta till ökade integritets- och säkerhetsrisker
Marknadsförda webbplatser efterliknar ofta utseendet på välkända och legitima sökmotorer som Bing, Yahoo och Google, vilket gör att de verkar vanliga vid första anblicken. Dessa falska sökmotorer kan dock generera sökresultat som leder användare till potentiellt osäkra webbplatser. Dessutom kan användare märka ändringar i sina webbläsarinställningar, särskilt genom frekventa omdirigeringar till tvivelaktiga webbplatser, vilket signalerar potentiell manipulation.
Medan cyberbrottslingar möter utmaningar när de använder verktyg som proxyviruset, tycker de att de är mer pålitliga för sina skändliga aktiviteter. De kan också ta till att ändra innehållet i legitima sökmotorer för att leverera falska sökresultat. Till exempel, även om Googles sökmotors webbplats verkar äkta i sin helhet, inklusive URL, sidhuvud och sidfot, ändrar infektionen resultatsektionen, vilket lurar användare att tro att de ser legitima sökresultat.
Detta bedrägliga beteende kan utsätta användare för olika högriskinfektioner eftersom de omedvetet kan besöka osäkra webbplatser. Dessutom utnyttjar cyberbrottslingar sådan taktik för att driva trafik till specifika webbplatser, vilket gör att de kan tjäna pengar på reklamintäkter.
Närvaron av proxyviruset kan allvarligt störa webbupplevelsen och öka sannolikheten för ytterligare datorinfektioner. Annonsprogram visar vanligtvis annonser, inklusive kuponger, banners och popup-fönster, som kan omdirigera användare till tvivelaktiga webbplatser.
Dessutom kan adware ha förmågan att samla in känslig användarinformation som IP-adresser, besökta webbadresser, visade sidor och sökfrågor. Dessa uppgifter delas ofta med tredje part, inklusive cyberbrottslingar, som utnyttjar dem för ekonomisk vinning. Följaktligen utgör otillåten spårning av användarinformation betydande integritetsrisker, vilket kan leda till identitetsstöld eller andra allvarliga konsekvenser.
PUP:ar är mycket beroende av tvivelaktiga distributionsmetoder
PUP:ar är starkt beroende av tvivelaktiga distributionsmetoder för att infiltrera användarnas system utan deras uttryckliga medgivande. Här är några nyckelmetoder de använder:
- Medföljande programvara : PUP:ar är ofta paketerade med legitima nedladdningar av programvara. Användare kan omedvetet installera PUP tillsammans med den önskade programvaran utan att inse det, eftersom de tenderar att skynda sig igenom installationsprocessen utan att noggrant granska villkoren eller välja bort valfria erbjudanden.
- Bedräglig reklam : PUPs marknadsförs ofta genom vilseledande reklam, som kan visas som legitima erbjudanden eller kampanjer som lockar användare att ladda ner och installera programvaran. Dessa annonser använder ofta vilseledande språk eller bilder för att lura användare att klicka på dem.
Sammantaget använder PUP:er en mängd tvivelaktiga distributionsmetoder för att i smyg infiltrera användarnas system, utnyttja användarnas bristande medvetenhet, brådska och förtroende för mjukvarukällor. Genom att förstå denna taktik kan användare vidta proaktiva åtgärder för att skydda sig mot oönskade programvaruinstallationer.