Proxy Virus

Ο ιός μεσολάβησης, γνωστός και ως ιός μεσολάβησης MITM, έχει αποκτήσει δημοτικότητα ως μια μορφή λογισμικού πειρατείας προγράμματος περιήγησης. Για τη διάδοση αυτής της μόλυνσης, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται συχνά διάφορες εφαρμογές τύπου adware, συχνά διεισδύοντας σε υπολογιστές χωρίς τη συγκατάθεση του χρήστη. Αυτά τα προγράμματα adware είναι επίσης γνωστό ότι παρέχουν παρεμβατικές διαφημίσεις και συλλέγουν δεδομένα που σχετίζονται με την περιήγηση.

Η αρχική διαδικασία εγκατάστασης του adware φαίνεται αβλαβής, αλλά κατά την εγκατάσταση, οι χρήστες αντιμετωπίζουν ένα παραπλανητικό αναδυόμενο μήνυμα που τους προτρέπει να ενημερώσουν το πρόγραμμα περιήγησης ιστού Safari. Αφού κάνουν κλικ στο "OK", οι χρήστες εμφανίζονται με ένα άλλο αναδυόμενο παράθυρο που ζητά διαπιστευτήρια λογαριασμού. Αυτό παραχωρεί κατά λάθος άδεια από το adware για χειρισμό του προγράμματος περιήγησης Safari.

Επιπλέον, οι απατεώνες εγκαταστάτες χρησιμοποιούν ένα «σενάριο bash» για να συνδεθούν σε έναν απομακρυσμένο διακομιστή και να κατεβάσουν ένα αρχείο .zip, από το οποίο εξάγεται ένα αρχείο .plist και αντιγράφεται στον κατάλογο LaunchDaemons. Αυτό το αρχείο .plist αναφέρεται σε ένα άλλο αρχείο με το όνομα "Titanium.Web.Proxy.Examples.Basic.Standard." Στη συνέχεια, δύο επιπλέον σενάρια ("change_proxy.sh" και "trush_cert.sh") εκτελούνται μετά την επόμενη επανεκκίνηση. Το σενάριο "change_proxy.sh" αλλάζει τις ρυθμίσεις του διακομιστή μεσολάβησης συστήματος για να χρησιμοποιήσει τον διακομιστή μεσολάβησης HTTP/S στο "localhost:8003", ενώ το σενάριο "trush_cert.sh" εγκαθιστά ένα αξιόπιστο πιστοποιητικό SSL στην αλυσίδα κλειδιών.

Οι κυβερνοεγκληματίες που είναι υπεύθυνοι για αυτήν τη μόλυνση αξιοποιούν το Titanium Web Proxy, έναν ασύγχρονο διακομιστή μεσολάβησης HTTP(S) ανοιχτού κώδικα γραμμένο σε C Sharp (C#). Είναι ένας διακομιστής μεσολάβησης πολλαπλών πλατφορμών, με δυνατότητα εκτέλεσης σε διάφορα λειτουργικά συστήματα, συμπεριλαμβανομένου του MacOS.

Πώς λειτουργεί ο ιός μεσολάβησης;

Ο πρωταρχικός στόχος αυτής της μόλυνσης είναι η πειρατεία των μηχανών αναζήτησης, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να χειραγωγούν τα αποτελέσματα αναζήτησης στο Διαδίκτυο. Ενώ η χρήση διακομιστή μεσολάβησης για αυτόν τον σκοπό είναι αντισυμβατική, οι εγκληματίες του κυβερνοχώρου συνήθως τροποποιούν τις ρυθμίσεις του προγράμματος περιήγησης μέσω εφαρμογών παραβίασης προγράμματος περιήγησης για να ανακατευθύνουν τους χρήστες σε συγκεκριμένες διευθύνσεις URL, που συχνά μοιάζουν με νόμιμες μηχανές αναζήτησης όπως το Bing, το Yahoo ή η Google. Ωστόσο, αυτές οι ψεύτικες μηχανές αναζήτησης μπορεί να αποφέρουν αποτελέσματα που οδηγούν σε κακόβουλους ιστότοπους, εμφανείς μέσω συνεχών ανακατευθύνσεων σε αμφίβολους ιστότοπους.

Ο ιός μεσολάβησης περιπλέκει τις εγκληματικές δραστηριότητες στον κυβερνοχώρο, ενώ παράλληλα διασφαλίζει την αξιοπιστία. Τα πλαστά αποτελέσματα αναζήτησης παραδίδονται με την παραβίαση του νόμιμου περιεχομένου των μηχανών αναζήτησης, παρέχοντας στους χρήστες παραπλανητικά αποτελέσματα ακόμη και όταν χρησιμοποιούν αυθεντικές μηχανές αναζήτησης όπως η Google.

Τέτοιες παραπλανητικές τακτικές όχι μόνο μειώνουν την εμπειρία περιήγησης, αλλά δημιουργούν επίσης σημαντικούς κινδύνους, οδηγώντας ενδεχομένως σε περαιτέρω μολύνσεις υπολογιστών και αυξημένη επισκεψιμότητα σε ορισμένους ιστότοπους, διευκολύνοντας τη δημιουργία εσόδων μέσω της διαφήμισης.

Η παρουσία του ιού Proxy επηρεάζει δραστικά τις εμπειρίες περιήγησης και μπορεί να οδηγήσει σε περαιτέρω μολύνσεις του υπολογιστή. Οι εφαρμογές τύπου adware είναι διαβόητες για την προβολή διαφημίσεων, στις οποίες, όταν πατηθούν, μπορούν να ανακατευθύνουν τους χρήστες σε κακόβουλους ιστότοπους ή να ενεργοποιήσουν τη λήψη/εγκατάσταση άλλων ανεπιθύμητων εφαρμογών. Αυτές οι διαφημίσεις, που συχνά επικαλύπτονται σε περιεχόμενο ιστότοπου, υποβαθμίζουν περαιτέρω τις εμπειρίες περιήγησης.

Επιπλέον, εφαρμογές τύπου adware συγκεντρώνουν μυστικά ευαίσθητες πληροφορίες χρηστών, συμπεριλαμβανομένων διευθύνσεων IP, διευθύνσεων URL επίσκεψης ιστοτόπων, ερωτημάτων αναζήτησης και άλλα, τα οποία ενδέχεται να εκμεταλλευτούν εγκληματίες του κυβερνοχώρου για χρηματικό κέρδος μέσω κακής χρήσης ιδιωτικών δεδομένων.