Proxy virus
Proxy Virus, også kendt som MITM Proxy Virus, har vundet popularitet som en form for browser-hijacking-software. For at udbrede denne infektion udnytter cyberkriminelle ofte forskellige adware-lignende applikationer og infiltrerer ofte computere uden brugerens samtykke. Disse adware-programmer er også kendt for at levere påtrængende reklamer og indsamle browsing-relaterede data.
Den indledende installationsproces af adware virker uskadelig, men ved installationen støder brugerne på en vildledende pop-up-meddelelse, der beder dem om at opdatere Safari-webbrowseren. Efter at have klikket på "OK", bliver brugerne præsenteret for en anden pop-up, der anmoder om kontooplysninger. Dette giver utilsigtet adware-tilladelse til at manipulere Safari-browseren.
Derudover bruger useriøse installatører et 'bash-script' til at oprette forbindelse til en fjernserver og downloade et .zip-arkiv, hvorfra en .plist-fil udpakkes og kopieres til LaunchDaemons-biblioteket. Denne .plist-fil refererer til en anden fil med navnet "Titanium.Web.Proxy.Examples.Basic.Standard." Efterfølgende udføres to yderligere scripts ("change_proxy.sh" og "trush_cert.sh") efter næste genstart. "change_proxy.sh"-scriptet ændrer systemproxy-indstillingerne for at bruge HTTP/S-proxy på "localhost:8003", mens "trush_cert.sh"-scriptet installerer et pålideligt SSL-certifikat i nøgleringen.
De cyberkriminelle, der er ansvarlige for denne infektion, udnytter Titanium Web Proxy, en open source asynkron HTTP(S)-proxy skrevet i C Sharp (C#). Det er en proxy på tværs af platforme, der kan køre på forskellige operativsystemer, inklusive MacOS.
Hvordan virker proxy-virus?
Det primære formål med denne infektion er at kapre søgemaskiner, hvilket gør det muligt for cyberkriminelle at manipulere internetsøgeresultater. Selvom det er utraditionelt at bruge en proxy til dette formål, ændrer cyberkriminelle typisk browserindstillinger via browserkapringsapplikationer for at omdirigere brugere til specifikke URL'er, der ofte ligner legitime søgemaskiner som Bing, Yahoo eller Google. Disse falske søgemaskiner kan dog give resultater, der fører til ondsindede websteder, tydeligt gennem kontinuerlige omdirigeringer til tvivlsomme websteder.
Proxy Virus komplicerer cyberkriminelle aktiviteter og sikrer samtidig pålidelighed. Falske søgeresultater leveres ved at manipulere med legitimt søgemaskineindhold, hvilket giver brugerne vildledende resultater, selv når de bruger autentiske søgemaskiner som Google.
Sådanne vildledende taktikker formindsker ikke kun browseroplevelsen, men udgør også betydelige risici, hvilket potentielt kan føre til yderligere computerinfektioner og øget trafik til visse websteder, hvilket letter indtægtsgenerering gennem annoncering.
Tilstedeværelsen af proxyvirus påvirker browsingoplevelser drastisk og kan føre til yderligere computerinfektioner. Applikationer af adware-typen er berygtede for at levere annoncer, som, når de klikkes, kan omdirigere brugere til ondsindede websteder eller udløse download/installation af andre uønskede apps. Disse annoncer, ofte overlejret på webstedets indhold, forringer browseroplevelserne yderligere.
Desuden indsamler applikationer af adware-typen hemmeligt følsomme brugeroplysninger, herunder IP-adresser, besøgte websteds-URL'er, søgeforespørgsler og mere, som kan udnyttes af cyberkriminelle til økonomisk vinding gennem misbrug af private data.
