Proxy-virus
Proxy Virus, også kjent som MITM Proxy Virus, har vunnet popularitet som en form for programvare for nettleserkapring. For å spre denne infeksjonen, utnytter nettkriminelle ofte ulike applikasjoner av adware-typen, og infiltrerer ofte datamaskiner uten brukerens samtykke. Disse adware-programmene er også kjent for å levere påtrengende reklame og samle nettleserrelaterte data.
Den første installasjonsprosessen av adware virker ufarlig, men ved installasjon møter brukerne en villedende popup-melding som ber dem om å oppdatere Safari-nettleseren. Etter å ha klikket "OK", blir brukere presentert med en annen popup som ber om kontolegitimasjon. Dette gir utilsiktet adware tillatelse til å manipulere Safari-nettleseren.
I tillegg bruker useriøse installatører et "bash-script" for å koble til en ekstern server og laste ned et .zip-arkiv, hvorfra en .plist-fil trekkes ut og kopieres til LaunchDaemons-katalogen. Denne .plist-filen refererer til en annen fil med navnet "Titanium.Web.Proxy.Examples.Basic.Standard." Deretter kjøres to ekstra skript ("change_proxy.sh" og "trush_cert.sh") etter neste omstart. "change_proxy.sh"-skriptet endrer systemproxy-innstillingene for å bruke HTTP/S-proxy på "localhost:8003," mens "trush_cert.sh"-skriptet installerer et klarert SSL-sertifikat i nøkkelringen.
De nettkriminelle som er ansvarlige for denne infeksjonen utnytter Titanium Web Proxy, en åpen kildekode asynkron HTTP(S)-proxy skrevet i C Sharp (C#). Det er en proxy på tvers av plattformer, som kan kjøres på forskjellige operativsystemer, inkludert MacOS.
Hvordan fungerer proxy-virus?
Hovedmålet med denne infeksjonen er å kapre søkemotorer, slik at nettkriminelle kan manipulere søkeresultater på Internett. Selv om det er ukonvensjonelt å bruke en proxy for dette formålet, endrer nettkriminelle vanligvis nettleserinnstillingene via nettleserkapringsapplikasjoner for å omdirigere brukere til bestemte nettadresser, som ofte ligner legitime søkemotorer som Bing, Yahoo eller Google. Disse falske søkemotorene kan imidlertid gi resultater som fører til ondsinnede nettsteder, tydelig gjennom kontinuerlige omdirigeringer til tvilsomme nettsteder.
Proxy Virus kompliserer cyberkriminelle aktiviteter samtidig som det sikrer pålitelighet. Falske søkeresultater leveres ved å tukle med legitimt søkemotorinnhold, og gir brukere villedende resultater selv når de bruker autentiske søkemotorer som Google.
Slike villedende taktikker reduserer ikke bare nettleseropplevelsen, men utgjør også betydelige risikoer, som potensielt kan føre til ytterligere datainfeksjoner og økt trafikk til visse nettsteder, noe som letter inntektsgenerering gjennom annonsering.
Tilstedeværelsen av proxy-virus påvirker nettleseropplevelsene drastisk og kan føre til ytterligere datainfeksjoner. Apper av adware-typen er beryktet for å levere annonser, som, når de klikkes, kan omdirigere brukere til ondsinnede nettsteder eller utløse nedlasting/installering av andre uønskede apper. Disse annonsene, ofte lagt over innholdet på nettstedet, forringer nettleseropplevelsen ytterligere.
Dessuten samler applikasjoner av adware-typen hemmelig inn sensitiv brukerinformasjon, inkludert IP-adresser, besøkte webadresser, søk og mer, som kan utnyttes av nettkriminelle for økonomisk vinning gjennom misbruk av private data.
