Proxy virusas
Tarpinio serverio virusas, taip pat žinomas kaip MITM tarpinis virusas, išpopuliarėjo kaip naršyklės užgrobimo programinė įranga. Siekdami platinti šią infekciją, kibernetiniai nusikaltėliai dažnai išnaudoja įvairias reklaminių programų tipo programas, dažnai be vartotojo sutikimo įsiskverbia į kompiuterius. Taip pat žinoma, kad šios reklaminės programos pateikia įkyrius skelbimus ir renka su naršymu susijusius duomenis.
Pradinis reklaminės programos diegimo procesas atrodo nekenksmingas, tačiau įdiegę vartotojai susiduria su apgaulingu iššokančiu pranešimu, raginančiu atnaujinti „Safari“ žiniatinklio naršyklę. Spustelėjus „Gerai“, vartotojams pateikiamas kitas iššokantis langas, kuriame prašoma paskyros kredencialų. Tai netyčia suteikia reklaminei programai leidimą manipuliuoti „Safari“ naršykle.
Be to, nesąžiningi diegėjai naudoja „bash scenarijų“, kad prisijungtų prie nuotolinio serverio ir atsisiųstų .zip archyvą, iš kurio išgaunamas .plist failas ir nukopijuojamas į LaunchDaemons katalogą. Šis .plist failas nurodo kitą failą pavadinimu „Titanium.Web.Proxy.Examples.Basic.Standard“. Vėliau po kito perkrovimo vykdomi du papildomi scenarijai („change_proxy.sh“ ir „trush_cert.sh“). Scenarijus „change_proxy.sh“ pakeičia sistemos tarpinio serverio nustatymus, kad naudotų HTTP/S tarpinį serverį adresu „localhost:8003“, o scenarijus „trush_cert.sh“ į raktų grandinę įdiegia patikimą SSL sertifikatą.
Už šią infekciją atsakingi kibernetiniai nusikaltėliai naudoja „Titanium Web Proxy“ – atvirojo kodo asinchroninį HTTP(S) tarpinį serverį, parašytą C Sharp (C#). Tai kelių platformų tarpinis serveris, galintis veikti įvairiose operacinėse sistemose, įskaitant MacOS.
Kaip veikia proxy virusas?
Pagrindinis šios infekcijos tikslas yra užgrobti paieškos variklius, leidžiančius kibernetiniams nusikaltėliams manipuliuoti interneto paieškos rezultatais. Nors tarpinio serverio naudojimas šiam tikslui yra neįprastas, kibernetiniai nusikaltėliai paprastai modifikuoja naršyklės nustatymus naudodami naršyklės užgrobimo programas, kad nukreiptų vartotojus į konkrečius URL, dažnai panašius į teisėtus paieškos variklius, pvz., „Bing“, „Yahoo“ ar „Google“. Tačiau šios netikros paieškos sistemos gali duoti rezultatų, vedančių į kenkėjiškas svetaines, o tai matyti iš nuolatinių peradresavimų į abejotinas svetaines.
Proxy Virus apsunkina kibernetinę nusikalstamą veiklą, tuo pačiu užtikrindamas patikimumą. Netikri paieškos rezultatai pateikiami pažeidžiant teisėtą paieškos variklio turinį, suteikiant vartotojams apgaulingus rezultatus net naudojant autentiškus paieškos variklius, pvz., „Google“.
Tokia apgaulinga taktika ne tik sumažina naršymo patirtį, bet ir kelia didelę riziką, dėl kurios gali atsirasti tolesnių kompiuterių užkrėtimų ir padidėti srautas į tam tikras svetaines, o tai palengvina pajamų generavimą iš reklamos.
Tarpinio serverio viruso buvimas drastiškai paveikia naršymo patirtį ir gali sukelti tolesnių kompiuterių užkrėtimų. Reklaminės programinės įrangos tipo programos yra žinomos tuo, kad pateikia reklamas, kurias spustelėjus galima nukreipti vartotojus į kenkėjiškas svetaines arba suaktyvinti kitų nepageidaujamų programėlių atsisiuntimą/diegimą. Šie skelbimai, dažnai uždengiami svetainės turiniu, dar labiau pablogina naršymo patirtį.
Be to, reklaminių programų tipo programos slapta renka neskelbtiną naudotojo informaciją, įskaitant IP adresus, aplankytų svetainių URL, paieškos užklausas ir kt., kuria kibernetiniai nusikaltėliai gali pasinaudoti siekdami piniginės naudos netinkamai naudodami privačius duomenis.
