Wirus proxy

Wirus proxy, znany również jako wirus proxy MITM, zyskał popularność jako forma oprogramowania porywającego przeglądarkę. Aby rozprzestrzenić tę infekcję, cyberprzestępcy często wykorzystują różne aplikacje typu adware, często infiltrując komputery bez zgody użytkownika. Te programy adware są również znane z generowania natrętnych reklam i zbierania danych związanych z przeglądaniem.

Początkowy proces instalacji oprogramowania reklamowego wydaje się nieszkodliwy, ale po instalacji użytkownicy napotykają zwodniczy komunikat wyskakujący z prośbą o aktualizację przeglądarki Safari. Po kliknięciu „OK” użytkownikom wyświetli się kolejne wyskakujące okienko z prośbą o podanie danych logowania do konta. To nieumyślnie przyznaje oprogramowaniu reklamowemu uprawnienia do manipulowania przeglądarką Safari.

Ponadto nieuczciwe instalatory wykorzystują „skrypt bash” do łączenia się ze zdalnym serwerem i pobierania archiwum .zip, z którego wyodrębniany jest plik .plist i kopiowany do katalogu LaunchDaemons. Ten plik .plist odwołuje się do innego pliku o nazwie „Titanium.Web.Proxy.Examples.Basic.Standard”. Następnie po następnym ponownym uruchomieniu wykonywane są dwa dodatkowe skrypty („change_proxy.sh” i „trush_cert.sh”). Skrypt „change_proxy.sh” zmienia ustawienia systemowego serwera proxy tak, aby korzystał z serwera proxy HTTP/S pod adresem „localhost:8003”, podczas gdy skrypt „trush_cert.sh” instaluje zaufany certyfikat SSL w pęku kluczy.

Cyberprzestępcy odpowiedzialni za tę infekcję wykorzystują Titanium Web Proxy, asynchroniczny serwer proxy HTTP(S) typu open source napisany w języku C Sharp (C#). Jest to wieloplatformowy serwer proxy, który może działać w różnych systemach operacyjnych, w tym MacOS.

Jak działa wirus proxy?

Głównym celem tej infekcji jest porywanie wyszukiwarek, umożliwiając cyberprzestępcom manipulowanie wynikami wyszukiwania w Internecie. Chociaż korzystanie z serwera proxy w tym celu jest niekonwencjonalne, cyberprzestępcy zazwyczaj modyfikują ustawienia przeglądarki za pomocą aplikacji porywających przeglądarkę, aby przekierowywać użytkowników do określonych adresów URL, często przypominających legalne wyszukiwarki, takie jak Bing, Yahoo czy Google. Jednak te fałszywe wyszukiwarki mogą generować wyniki prowadzące do złośliwych stron internetowych, co widać poprzez ciągłe przekierowania do podejrzanych witryn.

Wirus proxy komplikuje działania cyberprzestępcze, zapewniając jednocześnie niezawodność. Fałszywe wyniki wyszukiwania powstają w wyniku manipulacji legalną treścią wyszukiwarki, co zapewnia użytkownikom zwodnicze wyniki nawet wtedy, gdy korzystają z autentycznych wyszukiwarek, takich jak Google.

Takie zwodnicze taktyki nie tylko pogarszają komfort przeglądania, ale także stwarzają znaczne ryzyko, potencjalnie prowadząc do dalszych infekcji komputerowych i zwiększonego ruchu na niektórych stronach internetowych, ułatwiając generowanie przychodów dzięki reklamom.

Obecność wirusa proxy drastycznie wpływa na jakość przeglądania i może prowadzić do dalszych infekcji komputerowych. Aplikacje typu adware są znane z wyświetlania reklam, które po kliknięciu mogą przekierowywać użytkowników do złośliwych witryn internetowych lub powodować pobieranie/instalację innych niechcianych aplikacji. Reklamy te, często nakładane na treść witryny, jeszcze bardziej pogarszają komfort przeglądania.

Co więcej, aplikacje typu adware potajemnie zbierają wrażliwe informacje o użytkownikach, w tym adresy IP, adresy URL odwiedzanych witryn, wprowadzone zapytania i inne, które mogą zostać wykorzystane przez cyberprzestępców do celów pieniężnych poprzez niewłaściwe wykorzystanie prywatnych danych.