Proxy vírus

A Proxy Virus, más néven MITM Proxy Virus a böngésző-eltérítő szoftverek egyik formájaként vált népszerűvé. A fertőzés terjesztésére a kiberbűnözők gyakran kihasználnak különféle reklámprogram-típusú alkalmazásokat, gyakran a felhasználó beleegyezése nélkül beszivárognak számítógépekre. Ezek a reklámprogramok arról is ismertek, hogy tolakodó hirdetéseket jelenítenek meg, és böngészéssel kapcsolatos adatokat gyűjtenek.

A reklámprogramok kezdeti telepítési folyamata ártalmatlannak tűnik, de a telepítés során a felhasználók megtévesztő előugró üzenettel találkoznak, amely a Safari webböngésző frissítésére kéri őket. Az "OK" gombra kattintás után a felhasználók egy másik előugró ablakot kapnak, amely a fiók hitelesítő adatait kéri. Ez véletlenül engedélyt ad a reklámprogramoknak a Safari böngésző manipulálására.

Ezenkívül a szélhámos telepítők egy „bash script” segítségével csatlakoznak egy távoli szerverhez, és letöltenek egy .zip archívumot, amelyből a rendszer kicsomagolja a .plist fájlt, és a LaunchDaemons könyvtárba másolja. Ez a .plist fájl egy másik "Titanium.Web.Proxy.Examples.Basic.Standard" nevű fájlra hivatkozik. Ezt követően két további szkript ("change_proxy.sh" és "trush_cert.sh") fut le a következő újraindítás után. A "change_proxy.sh" szkript megváltoztatja a rendszerproxy beállításait, hogy HTTP/S proxyt használjon a "localhost:8003" helyen, míg a "trush_cert.sh" szkript megbízható SSL-tanúsítványt telepít a kulcstartóba.

A fertőzésért felelős kiberbűnözők a Titanium Web Proxy-t, egy C Sharp (C#) nyelven írt nyílt forráskódú aszinkron HTTP(S) proxyt használnak. Ez egy többplatformos proxy, amely különféle operációs rendszereken futni képes, beleértve a MacOS-t is.

Hogyan működik a proxyvírus?

A fertőzés elsődleges célja a keresőmotorok eltérítése, lehetővé téve a kiberbűnözők számára, hogy manipulálják az internetes keresési eredményeket. Míg a proxy használata erre a célra nem szokványos, a kiberbűnözők általában böngésző-eltérítő alkalmazásokon keresztül módosítják a böngésző beállításait, hogy a felhasználókat meghatározott URL-ekre irányítsák át, amelyek gyakran olyan legitim keresőmotorokhoz hasonlítanak, mint a Bing, a Yahoo vagy a Google. Ezek a hamis keresőmotorok azonban rosszindulatú webhelyekhez vezető eredményeket hozhatnak, ami nyilvánvaló a kétes webhelyekre történő folyamatos átirányításon keresztül.

A Proxy Virus megnehezíti a kiberbűnözők tevékenységét, miközben biztosítja a megbízhatóságot. A hamis keresési eredmények a jogszerű keresőmotor-tartalom manipulálásával jelennek meg, így a felhasználók megtévesztő eredményeket kapnak még hiteles keresőmotorok, például a Google használata esetén is.

Az ilyen megtévesztő taktikák nemcsak csökkentik a böngészési élményt, hanem jelentős kockázatokat is hordoznak magukban, ami további számítógép-fertőzésekhez és bizonyos webhelyek forgalmának növekedéséhez vezethet, ami elősegíti a hirdetéseken keresztüli bevételszerzést.

A Proxy Virus jelenléte drasztikusan befolyásolja a böngészési élményt, és további számítógépes fertőzésekhez vezethet. Az adware típusú alkalmazások hírhedtek arról, hogy reklámokat küldenek, amelyekre kattintva a felhasználókat rosszindulatú webhelyekre irányíthatják át, vagy más, nem kívánt alkalmazások letöltését/telepítését indíthatják el. Ezek a hirdetések, amelyek gyakran a webhely tartalmára kerülnek, tovább rontják a böngészési élményt.

Ezenkívül az adware típusú alkalmazások titkosan gyűjtenek bizalmas felhasználói információkat, beleértve az IP-címeket, a felkeresett webhelyek URL-címeit, a keresési lekérdezéseket és egyebeket, amelyeket a kiberbűnözők pénzbeli haszonszerzésre használhatnak ki személyes adatokkal való visszaélés révén.