Virus proxy
Proxy Virus, noto anche come MITM Proxy Virus, ha guadagnato popolarità come forma di software di dirottamento del browser. Per propagare questa infezione, i criminali informatici spesso sfruttano varie applicazioni di tipo adware, spesso infiltrandosi nei computer senza il consenso dell'utente. Questi programmi adware sono noti anche per fornire pubblicità intrusive e raccogliere dati relativi alla navigazione.
Il processo di installazione iniziale dell'adware sembra innocuo, ma al momento dell'installazione gli utenti riscontrano un messaggio pop-up ingannevole che chiede loro di aggiornare il browser web Safari. Dopo aver fatto clic su "OK", agli utenti viene presentato un altro popup che richiede le credenziali dell'account. Ciò concede inavvertitamente il permesso all'adware di manipolare il browser Safari.
Inoltre, gli installatori non autorizzati utilizzano uno "script bash" per connettersi a un server remoto e scaricare un archivio .zip, dal quale viene estratto un file .plist e copiato nella directory LaunchDaemons. Questo file .plist fa riferimento a un altro file denominato "Titanium.Web.Proxy.Examples.Basic.Standard". Successivamente, al successivo riavvio verranno eseguiti due script aggiuntivi ("change_proxy.sh" e "trush_cert.sh"). Lo script "change_proxy.sh" altera le impostazioni del proxy di sistema per utilizzare il proxy HTTP/S su "localhost:8003", mentre lo script "trush_cert.sh" installa un certificato SSL affidabile nel portachiavi.
I criminali informatici responsabili di questa infezione sfruttano Titanium Web Proxy, un proxy HTTP(S) asincrono open source scritto in C Sharp (C#). È un proxy multipiattaforma, in grado di funzionare su vari sistemi operativi, incluso MacOS.
Come funziona il virus proxy?
L'obiettivo principale di questa infezione è dirottare i motori di ricerca, consentendo ai criminali informatici di manipolare i risultati delle ricerche su Internet. Sebbene l'utilizzo di un proxy per questo scopo non sia convenzionale, i criminali informatici in genere modificano le impostazioni del browser tramite applicazioni di dirottamento del browser per reindirizzare gli utenti a URL specifici, spesso simili a motori di ricerca legittimi come Bing, Yahoo o Google. Tuttavia, questi falsi motori di ricerca possono produrre risultati che portano a siti Web dannosi, evidenti attraverso reindirizzamenti continui a siti dubbi.
Proxy Virus complica le attività dei criminali informatici garantendo affidabilità. Risultati di ricerca falsi vengono forniti manomettendo i contenuti legittimi dei motori di ricerca, fornendo agli utenti risultati ingannevoli anche quando utilizzano motori di ricerca autentici come Google.
Tali tattiche ingannevoli non solo riducono l'esperienza di navigazione, ma comportano anche rischi significativi, portando potenzialmente a ulteriori infezioni informatiche e all'aumento del traffico verso determinati siti Web, facilitando la generazione di entrate attraverso la pubblicità.
La presenza di Proxy Virus influisce drasticamente sull'esperienza di navigazione e può portare a ulteriori infezioni del computer. Le applicazioni di tipo adware sono note per pubblicare annunci pubblicitari che, se cliccati, possono reindirizzare gli utenti a siti Web dannosi o attivare il download/installazione di altre app indesiderate. Questi annunci, spesso sovrapposti ai contenuti del sito Web, peggiorano ulteriormente l'esperienza di navigazione.
Inoltre, le applicazioni di tipo adware raccolgono clandestinamente informazioni sensibili sugli utenti, inclusi indirizzi IP, URL di siti Web visitati, query di ricerca e altro, che possono essere sfruttate dai criminali informatici per guadagno monetario attraverso l'uso improprio di dati privati.
