代理病毒
代理病毒,也称为 MITM 代理病毒,是一种针对 Mac 用户的侵入性程序。该应用程序因其浏览器劫持功能而臭名昭著。网络犯罪分子采用可疑的分发技术来传播这种潜在有害程序 (PUP),通常会导致在未经用户明确同意的情况下悄无声息地渗透到计算机中。用户必须认识到,像代理病毒这样的 PUP 可以充当广告软件,用侵入性广告轰炸用户。此外,它们很容易记录浏览活动,可能会危及用户的隐私和安全。
目录
代理病毒安装后如何运行?
广告软件的初始安装看似常规,但安装后,用户会遇到一个欺骗性弹出消息,提示他们更新 Safari 网络浏览器。单击“确定”后,另一个弹出窗口会要求用户输入其帐户凭据。这种看似无害的操作可能会无意中授予可疑应用程序控制 Safari 浏览器的权限。
此外,恶意安装程序还会执行一个“bash 脚本”,该脚本旨在连接远程服务器并下载 .zip 存档。下载后,将解压存档,并将其中包含的 .plist 文件复制到 LaunchDaemons 目录中。
.plist 文件包含对另一个名为“Titanium.Web.Proxy.Examples.Basic.Standard”的文件的引用。此外,在随后的重新启动后,还会执行两个补充脚本(“change_proxy.sh”和“trust_cert.sh”)。“change_proxy.sh”脚本会更改系统代理设置,以利用“localhost:8003”上的 HTTP/S 代理。
另一方面,“trust_cert.sh”脚本将受信任的 SSL 证书安装到钥匙串中。此次感染由网络犯罪分子策划,他们利用 Titanium Web Proxy,这是一种用 C Sharp (C#) 编写的开源异步 HTTP(S) 代理。值得注意的是,Titanium Web Proxy 是跨平台的,可以在包括 MacOS 在内的各种操作系统上运行。
这种感染的主要目的是劫持搜索引擎,使网络犯罪分子能够操纵互联网搜索结果。这种方法与传统的虚假搜索引擎使用方式不同;相反,网络犯罪分子利用浏览器劫持应用程序来修改设置,例如新标签 URL、默认搜索引擎和主页,方法是将它们分配给特定的 URL。
虚假搜索引擎和浏览器劫持者常常导致隐私和安全风险增加
推广网站通常会模仿 Bing、Yahoo 和 Google 等知名合法搜索引擎的外观,乍一看似乎很普通。然而,这些虚假搜索引擎可以生成搜索结果,将用户引导至可能不安全的网站。此外,用户可能会注意到浏览器设置的变化,特别是通过频繁重定向到可疑网站,这表明可能存在操纵行为。
虽然网络犯罪分子在使用代理病毒等工具时面临挑战,但他们发现这些工具对于他们的恶意活动来说更可靠。他们还可能诉诸修改合法搜索引擎的内容来提供虚假的搜索结果。例如,尽管 Google 搜索引擎的网站看起来完全是真实的,包括 URL、页眉和页脚,但感染会改变结果部分,欺骗用户相信他们正在查看合法的搜索结果。
这种欺骗行为可能会让用户在不知情的情况下访问不安全的网站,从而面临各种高风险感染。此外,网络犯罪分子还利用此类策略将流量引流到特定网站,从而通过广告收入获利。
代理病毒的存在可能会严重破坏浏览体验,并增加计算机进一步感染的可能性。广告软件应用程序通常会提供广告,包括优惠券、横幅和弹出窗口,这些广告可能会将用户重定向到可疑网站。
此外,广告软件可能能够收集敏感的用户信息,例如 IP 地址、访问过的网站 URL、查看过的页面和搜索查询。这些数据通常会与第三方共享,包括网络犯罪分子,他们会利用这些数据来获取经济利益。因此,未经授权跟踪用户信息会带来重大的隐私风险,可能会导致身份盗用或其他严重后果。
PUP 严重依赖可疑的分发实践
PUP 严重依赖可疑的分发方式,在未经用户明确同意的情况下渗透用户系统。以下是他们使用的一些主要方法:
- 捆绑软件:PUP 通常与合法软件下载捆绑在一起。用户可能会在不知情的情况下将 PUP 与所需软件一起安装,因为他们往往会匆忙完成安装过程,而没有仔细查看条款和条件或取消选择可选优惠。
- 欺骗性广告:PUP 经常通过欺骗性广告进行推广,这些广告可能看起来像是合法的优惠或促销,诱使用户下载并安装软件。这些广告通常使用误导性语言或视觉效果来诱骗用户点击它们。
总体而言,PUP 采用各种可疑的分发方式来秘密渗透用户的系统,利用用户对软件来源缺乏了解、匆忙和信任的特点。通过了解这些策略,用户可以采取主动措施来保护自己免受不必要的软件安装。
