Прокси-вирус

Прокси-вирус, также известный как MITM Proxy Virus, приобрел популярность как разновидность программного обеспечения для взлома браузера. Для распространения этой инфекции киберпреступники часто используют различные приложения рекламного типа, зачастую проникая на компьютеры без согласия пользователя. Известно, что эти рекламные программы также предоставляют навязчивую рекламу и собирают данные, связанные с просмотром страниц.

Первоначальный процесс установки рекламного ПО кажется безобидным, но после установки пользователи сталкиваются с обманчивым всплывающим сообщением, предлагающим обновить веб-браузер Safari. После нажатия «ОК» пользователям отображается еще одно всплывающее окно с запросом учетных данных. Это непреднамеренно предоставляет рекламному ПО разрешение манипулировать браузером Safari.

Кроме того, мошеннические установщики используют «скрипт bash» для подключения к удаленному серверу и загрузки ZIP-архива, из которого извлекается файл .plist и копируется в каталог LaunchDaemons. Этот файл .plist ссылается на другой файл с именем «Titanium.Web.Proxy.Examples.Basic.Standard». Впоследствии два дополнительных скрипта («change_proxy.sh» и «trush_cert.sh») выполняются после следующей перезагрузки. Сценарий «change_proxy.sh» изменяет настройки системного прокси-сервера для использования прокси-сервера HTTP/S на «localhost:8003», а сценарий «trush_cert.sh» устанавливает доверенный сертификат SSL в связку ключей.

Киберпреступники, ответственные за это заражение, используют Titanium Web Proxy, асинхронный HTTP(S)-прокси с открытым исходным кодом, написанный на C Sharp (C#). Это кроссплатформенный прокси, способный работать в различных операционных системах, включая MacOS.

Как работает прокси-вирус?

Основной целью этой инфекции является захват поисковых систем, позволяющий киберпреступникам манипулировать результатами поиска в Интернете. Хотя использование прокси-сервера для этой цели является необычным, киберпреступники обычно изменяют настройки браузера с помощью приложений для перехвата браузера, чтобы перенаправлять пользователей на определенные URL-адреса, часто напоминающие законные поисковые системы, такие как Bing, Yahoo или Google. Однако эти фальшивые поисковые системы могут выдавать результаты, ведущие на вредоносные веб-сайты, о чем свидетельствуют постоянные перенаправления на сомнительные сайты.

Proxy Virus усложняет деятельность киберпреступников, обеспечивая при этом надежность. Поддельные результаты поиска предоставляются путем подделки законного контента поисковых систем, предоставляя пользователям ложные результаты даже при использовании подлинных поисковых систем, таких как Google.

Такая обманная тактика не только ухудшает качество просмотра, но и создает значительные риски, потенциально ведущие к дальнейшему заражению компьютеров и увеличению трафика на определенные веб-сайты, что способствует получению доходов за счет рекламы.

Наличие прокси-вируса существенно влияет на работу в Интернете и может привести к дальнейшему заражению компьютера. Приложения рекламного типа известны своей доставкой рекламных объявлений, которые при нажатии могут перенаправить пользователей на вредоносные веб-сайты или вызвать загрузку/установку других нежелательных приложений. Эта реклама, часто накладывающаяся на контент веб-сайта, еще больше ухудшает качество просмотра.

Более того, приложения рекламного типа тайно собирают конфиденциальную информацию о пользователях, включая IP-адреса, URL-адреса посещенных веб-сайтов, поисковые запросы и многое другое, что может быть использовано киберпреступниками для получения денежной выгоды путем неправомерного использования личных данных.