Virus ủy quyền
Virus proxy, còn được gọi là Virus proxy MITM, là một loại chương trình xâm nhập nhắm mục tiêu vào người dùng Mac. Ứng dụng này nổi tiếng với các chức năng chiếm quyền điều khiển trình duyệt. Tội phạm mạng sử dụng các kỹ thuật phân phối đáng ngờ để truyền bá Chương trình không mong muốn tiềm tàng (PUP) này, thường dẫn đến việc xâm nhập thầm lặng vào máy tính mà không có sự đồng ý rõ ràng của người dùng. Điều cần thiết là người dùng phải nhận ra rằng các PUP, giống như Virus Proxy, có thể hoạt động như phần mềm quảng cáo, tấn công người dùng bằng các quảng cáo xâm nhập. Ngoài ra, chúng có xu hướng ghi lại hoạt động duyệt web, có khả năng xâm phạm quyền riêng tư và bảo mật của người dùng.
Mục lục
Virus proxy hoạt động như thế nào sau khi được cài đặt?
Quá trình cài đặt phần mềm quảng cáo ban đầu diễn ra như thường lệ, nhưng sau khi cài đặt, người dùng gặp phải một thông báo bật lên lừa đảo nhắc họ cập nhật trình duyệt web Safari của mình. Khi nhấp vào 'OK', một cửa sổ bật lên khác sẽ yêu cầu người dùng nhập thông tin xác thực tài khoản của họ. Hành động tưởng chừng như vô hại này có thể vô tình cấp quyền cho ứng dụng đáng ngờ để kiểm soát trình duyệt Safari.
Hơn nữa, những trình cài đặt giả mạo thực thi một 'tập lệnh bash' được thiết kế để kết nối máy chủ từ xa và tải xuống kho lưu trữ .zip. Sau khi tải xuống, kho lưu trữ sẽ được giải nén và tệp .plist chứa trong đó sẽ được sao chép vào thư mục LaunchDaemons.
Tệp .plist chứa tham chiếu đến một tệp khác có tên 'Titanium.Web.Proxy.Examples.Basic.Standard.' Ngoài ra, hai tập lệnh bổ sung ('change_proxy.sh' và 'trust_cert.sh') được thực thi sau lần khởi động lại tiếp theo. Tập lệnh 'change_proxy.sh' thay đổi cài đặt proxy hệ thống để sử dụng proxy HTTP/S tại 'localhost:8003.'
Mặt khác, tập lệnh 'trust_cert.sh' sẽ cài đặt chứng chỉ SSL đáng tin cậy vào móc khóa. Sự lây nhiễm này được dàn dựng bởi tội phạm mạng lợi dụng Titanium Web Proxy, một proxy HTTP(S) không đồng bộ nguồn mở được viết bằng C Sharp (C#). Đáng chú ý, Titanium Web Proxy là nền tảng đa nền tảng, cho phép nó hoạt động trên nhiều hệ điều hành khác nhau, bao gồm cả MacOS.
Mục tiêu chính của sự lây nhiễm này là chiếm quyền điều khiển các công cụ tìm kiếm, tạo điều kiện cho tội phạm mạng thao túng kết quả tìm kiếm trên Internet. Cách tiếp cận này khác với việc sử dụng các công cụ tìm kiếm giả mạo thông thường; thay vào đó, tội phạm mạng lợi dụng các ứng dụng chiếm quyền điều khiển trình duyệt để sửa đổi các cài đặt như URL tab mới, công cụ tìm kiếm mặc định và trang chủ bằng cách gán chúng cho các URL cụ thể.
Công cụ tìm kiếm giả mạo và kẻ xâm nhập trình duyệt thường dẫn đến rủi ro bảo mật và quyền riêng tư ngày càng tăng
Các trang web được quảng cáo thường bắt chước giao diện của các công cụ tìm kiếm hợp pháp và nổi tiếng như Bing, Yahoo và Google, khiến chúng thoạt nhìn có vẻ bình thường. Tuy nhiên, những công cụ tìm kiếm giả mạo này có thể tạo ra kết quả tìm kiếm hướng người dùng đến các trang web có khả năng không an toàn. Ngoài ra, người dùng có thể nhận thấy những thay đổi trong cài đặt trình duyệt của họ, đặc biệt là thông qua việc thường xuyên chuyển hướng đến các trang web đáng ngờ, báo hiệu khả năng thao túng.
Trong khi tội phạm mạng phải đối mặt với những thách thức trong việc sử dụng các công cụ như Virus Proxy, chúng nhận thấy chúng đáng tin cậy hơn cho các hoạt động bất chính của chúng. Họ cũng có thể sử dụng cách sửa đổi nội dung của các công cụ tìm kiếm hợp pháp để đưa ra kết quả tìm kiếm giả mạo. Ví dụ: mặc dù toàn bộ trang web của công cụ tìm kiếm Google có vẻ chính hãng, bao gồm URL, đầu trang và chân trang, nhưng sự lây nhiễm sẽ làm thay đổi phần kết quả, đánh lừa người dùng tin rằng họ đang xem các kết quả tìm kiếm hợp pháp.
Hành vi lừa đảo này có thể khiến người dùng gặp phải nhiều nguy cơ lây nhiễm nguy cơ cao khác nhau vì họ có thể vô tình truy cập các trang web không an toàn. Hơn nữa, tội phạm mạng khai thác các chiến thuật như vậy để tăng lưu lượng truy cập đến các trang web cụ thể, cho phép chúng kiếm lợi nhuận thông qua doanh thu quảng cáo.
Sự hiện diện của Virus Proxy có thể làm gián đoạn nghiêm trọng trải nghiệm duyệt web và làm tăng khả năng lây nhiễm thêm vào máy tính. Các ứng dụng phần mềm quảng cáo thường phân phát quảng cáo, bao gồm phiếu giảm giá, biểu ngữ và cửa sổ bật lên, có thể chuyển hướng người dùng đến các trang web đáng ngờ.
Hơn nữa, phần mềm quảng cáo có thể có khả năng thu thập thông tin nhạy cảm của người dùng như địa chỉ IP, URL trang web đã truy cập, các trang đã xem và truy vấn tìm kiếm. Dữ liệu này thường được chia sẻ với các bên thứ ba, bao gồm cả tội phạm mạng, những người khai thác nó để thu lợi tài chính. Do đó, việc theo dõi trái phép thông tin người dùng gây ra rủi ro đáng kể về quyền riêng tư, có khả năng dẫn đến đánh cắp danh tính hoặc các hậu quả nghiêm trọng khác.
PUP phụ thuộc rất nhiều vào các hoạt động phân phối có vấn đề
PUP chủ yếu dựa vào các hoạt động phân phối đáng ngờ để xâm nhập vào hệ thống của người dùng mà không có sự đồng ý rõ ràng của họ. Dưới đây là một số phương pháp chính họ sử dụng:
- Phần mềm đi kèm : PUP thường đi kèm với các phần mềm tải xuống hợp pháp. Người dùng có thể vô tình cài đặt PUP cùng với phần mềm mong muốn mà không nhận ra, vì họ có xu hướng vội vàng thực hiện quá trình cài đặt mà không xem xét cẩn thận các điều khoản và điều kiện hoặc bỏ chọn các ưu đãi tùy chọn.
- Quảng cáo lừa đảo : PUP thường được quảng cáo thông qua các quảng cáo lừa đảo, có thể xuất hiện dưới dạng các ưu đãi hoặc khuyến mãi hợp pháp nhằm lôi kéo người dùng tải xuống và cài đặt phần mềm. Những quảng cáo này thường sử dụng ngôn ngữ hoặc hình ảnh gây hiểu lầm để lừa người dùng nhấp vào chúng.
Nhìn chung, PUP sử dụng nhiều phương pháp phân phối đáng ngờ để lén lút xâm nhập vào hệ thống của người dùng, lợi dụng sự thiếu nhận thức, vội vàng và tin tưởng của người dùng vào các nguồn phần mềm. Bằng cách hiểu những chiến thuật này, người dùng có thể thực hiện các biện pháp chủ động để bảo vệ bản thân khỏi việc cài đặt phần mềm không mong muốn.
