พร็อกซีไวรัส

Proxy Virus หรือที่เรียกอีกอย่างว่า MITM Proxy Virus เป็นโปรแกรมบุกรุกประเภทหนึ่งที่มีเป้าหมายเป็นผู้ใช้ Mac แอปพลิเคชันนี้มีชื่อเสียงในด้านฟังก์ชันการแย่งชิงเบราว์เซอร์ อาชญากรไซเบอร์ใช้เทคนิคการกระจายที่น่าสงสัยเพื่อเผยแพร่โปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) ซึ่งมักส่งผลให้เกิดการแทรกซึมเข้าไปในคอมพิวเตอร์โดยไม่ได้รับความยินยอมอย่างชัดแจ้งจากผู้ใช้ เป็นสิ่งสำคัญสำหรับผู้ใช้ที่ต้องรับรู้ว่า PUP เช่น Proxy Virus สามารถทำหน้าที่เป็นแอดแวร์ โจมตีผู้ใช้ด้วยโฆษณาที่ล่วงล้ำ นอกจากนี้ พวกเขามีแนวโน้มที่จะบันทึกกิจกรรมการท่องเว็บ ซึ่งอาจส่งผลต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้

Proxy Virus ทำงานอย่างไรเมื่อติดตั้งแล้ว?

การติดตั้งแอดแวร์ครั้งแรกดูเหมือนจะเป็นกิจวัตร แต่เมื่อทำการติดตั้ง ผู้ใช้พบข้อความป๊อปอัปหลอกลวงแจ้งให้อัปเดตเว็บเบราว์เซอร์ Safari เมื่อคลิก 'ตกลง' ป๊อปอัปอีกอันจะขอให้ผู้ใช้ป้อนข้อมูลรับรองบัญชีของตน การกระทำที่ดูเหมือนไม่มีอันตรายนี้อาจให้สิทธิ์แอปพลิเคชันที่น่าสงสัยในการควบคุมเบราว์เซอร์ Safari โดยไม่ได้ตั้งใจ

นอกจากนี้ โปรแกรมติดตั้งปลอมยังเรียกใช้ 'สคริปต์ทุบตี' ที่ออกแบบมาเพื่อเชื่อมต่อเซิร์ฟเวอร์ระยะไกลและดาวน์โหลดไฟล์เก็บถาวร .zip เมื่อดาวน์โหลดแล้ว ไฟล์เก็บถาวรจะถูกแยกออก และไฟล์ .plist ที่อยู่ภายในจะถูกคัดลอกไปยังไดเร็กทอรี LaunchDaemons

ไฟล์ .plist มีการอ้างอิงไปยังไฟล์อื่นชื่อ 'Titanium.Web.Proxy.Examples.Basic.Standard' นอกจากนี้ สคริปต์เสริมสองตัว ('change_proxy.sh' และ 'trust_cert.sh') จะถูกดำเนินการหลังจากการรีบูตครั้งถัดไป สคริปต์ 'change_proxy.sh' จะเปลี่ยนการตั้งค่าพร็อกซีระบบเพื่อใช้พร็อกซี HTTP/S ที่ 'localhost:8003'

ในทางกลับกัน สคริปต์ 'trust_cert.sh' จะติดตั้งใบรับรอง SSL ที่เชื่อถือได้ลงในพวงกุญแจ การติดเชื้อนี้ถูกควบคุมโดยอาชญากรไซเบอร์ที่ใช้ Titanium Web Proxy ซึ่งเป็นพร็อกซี HTTP(S) แบบโอเพ่นซอร์สแบบอะซิงโครนัสที่เขียนด้วยภาษา C Sharp (C#) โดยเฉพาะอย่างยิ่ง Titanium Web Proxy นั้นเป็นแพลตฟอร์มข้ามแพลตฟอร์ม ทำให้สามารถทำงานบนระบบปฏิบัติการต่าง ๆ รวมถึง MacOS

วัตถุประสงค์หลักของการติดเชื้อนี้คือเพื่อแย่งชิงเครื่องมือค้นหา ทำให้อาชญากรไซเบอร์สามารถจัดการผลการค้นหาทางอินเทอร์เน็ตได้ วิธีการนี้แตกต่างจากการใช้เครื่องมือค้นหาปลอมแบบทั่วไป อาชญากรไซเบอร์ใช้ประโยชน์จากแอปพลิเคชันจี้เบราว์เซอร์เพื่อแก้ไขการตั้งค่า เช่น URL ของแท็บใหม่ เครื่องมือค้นหาเริ่มต้น และหน้าแรกโดยกำหนดให้กับ URL ที่เฉพาะเจาะจง

เครื่องมือค้นหาปลอมและไฮแจ็คเกอร์เบราว์เซอร์มักจะนำไปสู่ความเสี่ยงด้านความเป็นส่วนตัวและความปลอดภัยที่เพิ่มขึ้น

เว็บไซต์ที่ได้รับการโปรโมตมักจะเลียนแบบรูปลักษณ์ของเครื่องมือค้นหาที่เป็นที่รู้จักและถูกต้องตามกฎหมาย เช่น Bing, Yahoo และ Google ทำให้ดูธรรมดาเมื่อมองแวบแรก อย่างไรก็ตาม เครื่องมือค้นหาปลอมเหล่านี้สามารถสร้างผลการค้นหาที่นำผู้ใช้ไปยังเว็บไซต์ที่อาจไม่ปลอดภัยได้ นอกจากนี้ ผู้ใช้อาจสังเกตเห็นการเปลี่ยนแปลงในการตั้งค่าเบราว์เซอร์ โดยเฉพาะอย่างยิ่งจากการเปลี่ยนเส้นทางไปยังไซต์ที่น่าสงสัยบ่อยครั้ง ซึ่งส่งสัญญาณถึงการจัดการที่อาจเกิดขึ้น

ในขณะที่อาชญากรไซเบอร์เผชิญกับความท้าทายในการใช้เครื่องมือเช่น Proxy Virus พวกเขาพบว่าพวกเขามีความน่าเชื่อถือมากกว่าสำหรับกิจกรรมที่ชั่วร้าย พวกเขายังอาจหันไปใช้การแก้ไขเนื้อหาของเครื่องมือค้นหาที่ถูกต้องตามกฎหมายเพื่อแสดงผลการค้นหาปลอม ตัวอย่างเช่น แม้ว่าเว็บไซต์ของเครื่องมือค้นหาของ Google จะปรากฏเป็นของแท้ทั้งหมด รวมถึง URL ส่วนหัว และส่วนท้าย การติดไวรัสจะทำให้ส่วนผลลัพธ์เปลี่ยนแปลง หลอกลวงผู้ใช้ให้เชื่อว่าพวกเขากำลังดูผลการค้นหาที่ถูกต้อง

พฤติกรรมหลอกลวงนี้อาจทำให้ผู้ใช้เสี่ยงต่อการติดไวรัสสูง เนื่องจากอาจเข้าชมเว็บไซต์ที่ไม่ปลอดภัยโดยไม่รู้ตัว นอกจากนี้ อาชญากรไซเบอร์ยังใช้ประโยชน์จากกลยุทธ์ดังกล่าวเพื่อเพิ่มปริมาณการเข้าชมเว็บไซต์บางแห่ง ทำให้พวกเขาได้รับผลกำไรจากรายได้จากการโฆษณา

การปรากฏตัวของ Proxy Virus อาจรบกวนประสบการณ์การท่องเว็บอย่างรุนแรง และเพิ่มโอกาสที่จะติดไวรัสคอมพิวเตอร์เพิ่มเติม แอปพลิเคชันแอดแวร์มักให้บริการโฆษณา รวมถึงคูปอง แบนเนอร์ และป๊อปอัป ซึ่งอาจเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่น่าสงสัย

นอกจากนี้ แอดแวร์อาจมีความสามารถในการรวบรวมข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น ที่อยู่ IP, URL ของเว็บไซต์ที่เยี่ยมชม, หน้าที่ดู และคำค้นหา ข้อมูลนี้มักถูกแชร์กับบุคคลที่สาม รวมถึงอาชญากรไซเบอร์ที่ใช้ประโยชน์จากข้อมูลนี้เพื่อผลประโยชน์ทางการเงิน ด้วยเหตุนี้ การติดตามข้อมูลผู้ใช้โดยไม่ได้รับอนุญาตจึงก่อให้เกิดความเสี่ยงด้านความเป็นส่วนตัวอย่างมีนัยสำคัญ ซึ่งอาจนำไปสู่การขโมยข้อมูลส่วนบุคคลหรือผลที่ตามมาร้ายแรงอื่นๆ

PUP พึ่งพาแนวทางปฏิบัติในการจัดจำหน่ายที่น่าสงสัยอย่างมาก

PUP พึ่งพาแนวทางปฏิบัติในการเผยแพร่ที่น่าสงสัยอย่างมากในการแทรกซึมระบบของผู้ใช้โดยไม่ได้รับความยินยอมอย่างชัดแจ้ง ต่อไปนี้เป็นวิธีการสำคัญบางส่วนที่พวกเขาใช้:

• ซอฟต์แวร์ที่แถมมา : PUP มักจะมาพร้อมกับการดาวน์โหลดซอฟต์แวร์ที่ถูกต้องตามกฎหมาย ผู้ใช้อาจติดตั้ง PUP ควบคู่ไปกับซอฟต์แวร์ที่ต้องการโดยไม่รู้ตัว เนื่องจากพวกเขามักจะเร่งผ่านขั้นตอนการติดตั้งโดยไม่ต้องตรวจสอบข้อกำหนดและเงื่อนไขอย่างรอบคอบหรือยกเลิกการเลือกข้อเสนอเพิ่มเติม
• การโฆษณาที่หลอกลวง : PUP มักได้รับการส่งเสริมผ่านโฆษณาที่หลอกลวง ซึ่งอาจปรากฏเป็นข้อเสนอที่ถูกต้องตามกฎหมายหรือการส่งเสริมการขายที่ล่อลวงผู้ใช้ให้ดาวน์โหลดและติดตั้งซอฟต์แวร์ โฆษณาเหล่านี้มักใช้ภาษาหรือภาพที่ทำให้เข้าใจผิดเพื่อหลอกให้ผู้ใช้คลิกโฆษณาเหล่านั้น

โดยรวมแล้ว PUP ใช้แนวทางปฏิบัติในการเผยแพร่ที่น่าสงสัยหลากหลายรูปแบบเพื่อแอบแทรกซึมระบบของผู้ใช้ โดยใช้ประโยชน์จากการขาดความตระหนักรู้ ความเร่งรีบ และความไว้วางใจของผู้ใช้ในแหล่งซอฟต์แวร์ ด้วยการทำความเข้าใจกลยุทธ์เหล่านี้ ผู้ใช้สามารถใช้มาตรการเชิงรุกเพื่อปกป้องตนเองจากการติดตั้งซอฟต์แวร์ที่ไม่ต้องการได้