代理病毒
代理病毒,也稱為 MITM 代理病毒,是一種針對 Mac 用戶的入侵程式。該應用程式因其瀏覽器劫持功能而臭名昭著。網路犯罪分子採用可疑的分發技術來傳播這種潛在有害程式 (PUP),通常會在未經用戶明確同意的情況下悄悄滲透到電腦中。使用者必須認識到 PUP(如代理病毒)可以充當廣告軟體,用侵入性廣告轟炸用戶。此外,它們還容易記錄瀏覽活動,可能損害使用者的隱私和安全。
目錄
代理病毒安裝後如何運作?
廣告軟體的初始安裝看似例行公事,但安裝後,用戶會遇到一條欺騙性的彈出訊息,提示他們更新 Safari 網路瀏覽器。按一下「確定」後,另一個彈出視窗會要求使用者輸入其帳戶憑證。這種看似無害的操作可能會無意中授予可疑應用程式控制 Safari 瀏覽器的權限。
此外,惡意安裝程式會執行旨在連接遠端伺服器並下載 .zip 檔案的「bash 腳本」。下載後,將提取存檔,並將其中包含的 .plist 檔案複製到 LaunchDaemons 目錄。
.plist 檔案包含另一個名為「Titanium.Web.Proxy.Examples.Basic.Standard」的檔案的引用。此外,在後續重新啟動後會執行兩個補充腳本(“change_proxy.sh”和“trust_cert.sh”)。 “change_proxy.sh”腳本更改系統代理程式設定以利用“localhost:8003”處的 HTTP/S 代理程式。
另一方面,「trust_cert.sh」腳本將受信任的 SSL 憑證安裝到鑰匙圈中。這種感染是由網路犯罪分子利用 Titanium Web Proxy 精心策劃的,Titanium Web Proxy 是一種用 C Sharp (C#) 編寫的開源異步 HTTP(S) 代理。值得注意的是,Titanium Web Proxy 是跨平台的,允許它在各種作業系統上運行,包括 MacOS。
這種感染的主要目標是劫持搜尋引擎,使網路犯罪分子能夠操縱網路搜尋結果。這種方法偏離了假搜尋引擎的常規使用;相反,網路犯罪分子利用瀏覽器劫持應用程式將新分頁 URL、預設搜尋引擎和首頁等設定分配給特定的 URL,從而修改這些設定。
虛假搜尋引擎和瀏覽器劫持者通常會導致隱私和安全風險增加
推廣網站通常會模仿 Bing、Yahoo 和 Google 等知名合法搜尋引擎的外觀,使它們乍看之下顯得相當普通。然而,這些虛假搜尋引擎可以產生搜尋結果,將使用者引導至可能不安全的網站。此外,使用者可能會注意到瀏覽器設定的變化,特別是透過頻繁重定向到可疑網站,表明存在潛在的操縱行為。
雖然網路犯罪分子在使用代理病毒等工具時面臨挑戰,但他們發現這些工具對他們的邪惡活動來說更可靠。他們還可能透過修改合法搜尋引擎的內容來提供虛假搜尋結果。例如,儘管 Google 搜尋引擎的網站整體看來是真實的,包括 URL、頁首和頁腳,但感染會改變結果部分,欺騙用戶相信他們正在查看合法的搜尋結果。
這種欺騙行為可能會使用戶面臨各種高風險感染,因為他們可能會無意中造訪不安全的網站。此外,網路犯罪分子利用此類策略來增加特定網站的流量,使他們能夠透過廣告收入獲利。
代理病毒的存在可能會嚴重破壞瀏覽體驗並增加進一步電腦感染的可能性。廣告軟體應用程式通常會提供廣告,包括優惠券、橫幅和彈出窗口,這些廣告可能會將用戶重新導向到可疑網站。
此外,廣告軟體可能能夠收集敏感的使用者訊息,例如 IP 位址、造訪過的網站 URL、查看的頁面和搜尋查詢。這些數據通常與第三方共享,包括網路犯罪分子,他們利用這些數據獲取經濟利益。因此,未經授權的使用者資訊追蹤會帶來重大的隱私風險,可能導致身分盜竊或其他嚴重後果。
PUP 嚴重依賴有問題的分發實踐
PUP 嚴重依賴可疑的分發實踐來在未經用戶明確同意的情況下滲透到用戶的系統。以下是他們使用的一些關鍵方法:
- 捆綁軟體:PUP 通常與合法軟體下載捆綁在一起。用戶可能會在沒有意識到的情況下無意中將 PUP 與所需的軟體一起安裝,因為他們傾向於匆忙完成安裝過程,而沒有仔細查看條款和條件或取消選擇可選優惠。
- 欺騙性廣告:PUP 經常透過欺騙性廣告進行宣傳,這些廣告可能表現為合法優惠或促銷,誘使用戶下載和安裝該軟體。這些廣告通常使用誤導性語言或視覺效果來誘騙用戶點擊它們。
整體而言,PUP 採用各種可疑的分發做法來秘密滲透使用者的系統,利用使用者對軟體來源缺乏認識、倉促和信任的心理。透過了解這些策略,使用者可以採取主動措施來保護自己免受不必要的軟體安裝的影響。
