Проксі-вірус
Проксі-вірус, також званий проксі-вірусом MITM, є типом нав’язливої програми, націленої на користувачів Mac. Програма сумно відома своїми функціями викрадення браузера. Кіберзлочинці використовують сумнівні методи розповсюдження для поширення цієї потенційно небажаної програми (PUP), що часто призводить до тихого проникнення в комп’ютери без явної згоди користувачів. Важливо, щоб користувачі усвідомлювали, що PUP, як і проксі-вірус, можуть функціонувати як рекламне ПЗ, бомбардуючи користувачів нав’язливою рекламою. Крім того, вони схильні записувати дії веб-переглядача, потенційно ставлячи під загрозу конфіденційність і безпеку користувачів.
Зміст
Як працює проксі-вірус після встановлення?
Початкова інсталяція рекламного ПЗ здається звичайною, але після інсталяції користувачі стикаються з оманливим спливаючим повідомленням із проханням оновити веб-браузер Safari. Після натискання «ОК» інше спливаюче вікно пропонує користувачам ввести облікові дані свого облікового запису. Ця, здавалося б, нешкідлива дія може ненавмисно надати сумнівній програмі дозвіл на керування браузером Safari.
Крім того, шахрайські інсталятори виконують сценарій bash, призначений для підключення до віддаленого сервера та завантаження архіву .zip. Після завантаження архів розпаковується, а файл .plist, що міститься в ньому, копіюється в каталог LaunchDaemons.
Файл .plist містить посилання на інший файл під назвою "Titanium.Web.Proxy.Examples.Basic.Standard". Крім того, два додаткові сценарії ('change_proxy.sh' і 'trust_cert.sh') виконуються після наступного перезавантаження. Сценарій 'change_proxy.sh' змінює налаштування проксі-сервера системи для використання проксі-сервера HTTP/S на 'localhost:8003'.
З іншого боку, сценарій 'trust_cert.sh' встановлює довірений сертифікат SSL у брелок. Цю інфекцію організовано кіберзлочинцями, які використовують Titanium Web Proxy, асинхронний HTTP(S) проксі з відкритим кодом, написаний мовою C Sharp (C#). Примітно, що Titanium Web Proxy є кросплатформним, що дозволяє йому працювати на різних операційних системах, включаючи MacOS.
Основною метою цієї інфекції є захоплення пошукових систем, що дозволяє кіберзлочинцям маніпулювати результатами пошуку в Інтернеті. Цей підхід відрізняється від звичайного використання підроблених пошукових систем; натомість кіберзлочинці використовують додатки для викрадення браузера, щоб змінювати такі параметри, як URL-адреса нової вкладки, пошукова система за замовчуванням і домашня сторінка, призначаючи їх певним URL-адресам.
Фальшиві пошукові системи та зловмисники веб-переглядачів часто призводять до підвищених ризиків для конфіденційності та безпеки
Рекламовані веб-сайти часто імітують зовнішній вигляд добре відомих і законних пошукових систем, таких як Bing, Yahoo та Google, що робить їх звичайними на перший погляд. Однак ці підроблені пошукові системи можуть генерувати результати пошуку, які спрямовують користувачів на потенційно небезпечні веб-сайти. Крім того, користувачі можуть помітити зміни в налаштуваннях браузера, зокрема через часті перенаправлення на сумнівні сайти, що сигналізує про потенційну маніпуляцію.
Незважаючи на те, що кіберзлочинці стикаються з труднощами під час використання таких інструментів, як проксі-вірус, вони вважають їх більш надійними для своєї нечесної діяльності. Вони також можуть вдаватися до модифікації вмісту законних пошукових систем, щоб надавати підроблені результати пошуку. Наприклад, хоча веб-сайт пошукової системи Google виглядає повністю справжнім, включаючи URL-адресу, верхній і нижній колонтитули, зараження змінює розділ результатів, змушуючи користувачів повірити, що вони переглядають законні результати пошуку.
Така оманлива поведінка може наражати користувачів на різні високоризикові інфекції, оскільки вони можуть мимоволі відвідувати небезпечні веб-сайти. Крім того, кіберзлочинці використовують таку тактику, щоб спрямовувати трафік на певні веб-сайти, що дозволяє їм отримувати прибуток за рахунок рекламних доходів.
Наявність проксі-вірусу може серйозно порушити роботу веб-переглядача та збільшити ймовірність подальшого зараження комп’ютера. Рекламні програми зазвичай розміщують рекламу, зокрема купони, банери та спливаючі вікна, які можуть перенаправляти користувачів на сумнівні веб-сайти.
Крім того, рекламне ПЗ може мати можливість збирати конфіденційну інформацію користувача, таку як IP-адреси, URL-адреси відвіданих веб-сайтів, переглянуті сторінки та пошукові запити. Ці дані часто передаються третім сторонам, зокрема кіберзлочинцям, які використовують їх для отримання фінансової вигоди. Отже, несанкціоноване відстеження інформації користувача створює значні ризики для конфіденційності, потенційно призводячи до крадіжки особистих даних або інших серйозних наслідків.
ПУПи значною мірою покладаються на сумнівну практику розповсюдження
ПНП значною мірою покладаються на сумнівні практики розповсюдження, щоб проникнути в системи користувачів без їхньої явної згоди. Ось деякі основні методи, які вони використовують:
- Програмне забезпечення в комплекті : PUP часто постачається разом із завантаженим легальним програмним забезпеченням. Користувачі можуть мимоволі встановити PUP разом із потрібним програмним забезпеченням, не усвідомлюючи цього, оскільки вони, як правило, поспішають через процес встановлення, не уважно ознайомившись із положеннями та умовами чи не скасувавши вибір додаткових пропозицій.
- Оманлива реклама : PUP часто рекламуються через оманливу рекламу, яка може виглядати як законні пропозиції або рекламні акції, що спонукають користувачів завантажити та встановити програмне забезпечення. Ці рекламні оголошення часто використовують оманливу мову або візуальні елементи, щоб обманом змусити користувачів натиснути їх.
Загалом PUP використовують різноманітні сумнівні практики розповсюдження, щоб таємно проникнути в системи користувачів, використовуючи необізнаність користувачів, поспіх і довіру до джерел програмного забезпечення. Розуміючи цю тактику, користувачі можуть вживати профілактичних заходів, щоб захистити себе від встановлення небажаного програмного забезпечення.
