Proxyvirus
Proxy Virus, även känt som MITM Proxy Virus, har vunnit popularitet som en form av programvara för kapning av webbläsare. För att sprida denna infektion utnyttjar cyberbrottslingar ofta olika applikationer av adware-typ och infiltrerar ofta datorer utan användarens samtycke. Dessa adware-program är också kända för att leverera påträngande annonser och samla in webbläsarrelaterad data.
Den första installationsprocessen av adware verkar oskadlig, men vid installationen stöter användare på ett vilseledande popup-meddelande som uppmanar dem att uppdatera webbläsaren Safari. Efter att ha klickat på "OK" visas användarna med ett annat popup-fönster som begär kontouppgifter. Detta ger oavsiktligt adware-tillstånd att manipulera webbläsaren Safari.
Dessutom använder oseriösa installatörer ett "bash-script" för att ansluta till en fjärrserver och ladda ner ett .zip-arkiv, från vilket en .plist-fil extraheras och kopieras till LaunchDaemons-katalogen. Denna .plist-fil refererar till en annan fil med namnet "Titanium.Web.Proxy.Examples.Basic.Standard." Därefter exekveras ytterligare två skript ("change_proxy.sh" och "trush_cert.sh") efter nästa omstart. Skriptet "change_proxy.sh" ändrar systemproxyinställningarna för att använda HTTP/S-proxy på "localhost:8003", medan skriptet "trush_cert.sh" installerar ett pålitligt SSL-certifikat i nyckelringen.
De cyberbrottslingar som är ansvariga för denna infektion använder Titanium Web Proxy, en asynkron HTTP(S)-proxy med öppen källkod skriven i C Sharp (C#). Det är en plattformsproxy som kan köras på olika operativsystem, inklusive MacOS.
Hur fungerar proxyvirus?
Det primära syftet med denna infektion är att kapa sökmotorer, vilket gör det möjligt för cyberbrottslingar att manipulera sökresultat på internet. Även om det är okonventionellt att använda en proxy för detta ändamål, ändrar cyberbrottslingar vanligtvis webbläsarinställningar via webbläsarkapningsprogram för att omdirigera användare till specifika webbadresser, som ofta liknar legitima sökmotorer som Bing, Yahoo eller Google. Dessa falska sökmotorer kan dock ge resultat som leder till skadliga webbplatser, uppenbart genom kontinuerliga omdirigeringar till tvivelaktiga webbplatser.
Proxyvirus komplicerar cyberkriminella aktiviteter samtidigt som det säkerställer tillförlitlighet. Falska sökresultat levereras genom att manipulera legitimt sökmotorinnehåll, vilket ger användarna vilseledande resultat även när de använder autentiska sökmotorer som Google.
Sådana vilseledande taktiker minskar inte bara surfupplevelsen utan utgör också betydande risker, vilket kan leda till ytterligare datorinfektioner och ökad trafik till vissa webbplatser, vilket underlättar generering av intäkter genom annonsering.
Närvaron av proxyvirus påverkar webbupplevelsen drastiskt och kan leda till ytterligare datorinfektioner. Applikationer av adware-typ är ökända för att leverera annonser som, när de klickas på dem, kan omdirigera användare till skadliga webbplatser eller utlösa nedladdning/installation av andra oönskade appar. Dessa annonser, ofta överlagrade på webbplatsens innehåll, försämrar surfupplevelsen ytterligare.
Dessutom samlar appar av adware-typ hemlig in känslig användarinformation, inklusive IP-adresser, besökta webbadresser, sökfrågor och mer, som kan utnyttjas av cyberbrottslingar för ekonomisk vinning genom missbruk av privata data.
