代理病毒

代理病毒，也稱為 MITM 代理病毒，作為一種瀏覽器劫持軟體而廣受歡迎。為了傳播這種感染，網路犯罪分子經常利用各種廣告軟體類型的應用程序，並經常在未經用戶同意的情況下滲透電腦。這些廣告軟體程式還可以提供侵入性廣告並收集瀏覽相關資料。

廣告軟體的初始安裝過程看似無害，但安裝後，用戶會遇到一條欺騙性的彈出訊息，提示他們更新 Safari 網路瀏覽器。點擊“確定”後，用戶將看到另一個彈出窗口，請求帳戶憑證。這會無意中授予廣告軟體操縱 Safari 瀏覽器的權限。

此外，惡意安裝程式利用「bash 腳本」連接到遠端伺服器並下載 .zip 存檔，從中提取 .plist 檔案並將其複製到 LaunchDaemons 目錄。此 .plist 檔案引用另一個名為「Titanium.Web.Proxy.Examples.Basic.Standard」的檔案。隨後，在下次重新啟動後執行兩個附加腳本（“change_proxy.sh”和“trush_cert.sh”）。 「change_proxy.sh」腳本更改系統代理設定以利用「localhost:8003」處的 HTTP/S 代理，而「trush_cert.sh」腳本將受信任的 SSL 憑證安裝到鑰匙圈中。

造成這種感染的網路犯罪分子利用了 Titanium Web Proxy，這是一種用 C Sharp (C#) 編寫的開源非同步 HTTP(S) 代理程式。它是一個跨平台代理，能夠在各種作業系統上運行，包括 MacOS。

代理病毒如何運作？

這種感染的主要目標是劫持搜尋引擎，使網路犯罪分子能夠操縱網路搜尋結果。雖然為此目的使用代理是非常規的，但網路犯罪分子通常會透過瀏覽器劫持應用程式修改瀏覽器設置，將用戶重定向到特定的 URL，通常類似於 Bing、Yahoo 或 Google 等合法搜尋引擎。然而，這些假搜尋引擎可能會產生導致惡意網站的結果，這透過不斷重定向到可疑網站而顯而易見。

代理病毒在確保可靠性的同時使網路犯罪活動變得複雜。虛假搜尋結果是透過篡改合法搜尋引擎內容來提供的，即使用戶使用Google等真實搜尋引擎，也會為用戶提供欺騙性結果。

這種欺騙手段不僅會降低瀏覽體驗，還會帶來重大風險，可能導致進一步的電腦感染和某些網站的流量增加，從而促進透過廣告創造收入。

代理病毒的存在會極大地影響瀏覽體驗，並可能導致進一步的電腦感染。廣告軟體類型的應用程式因投放廣告而臭名昭著，點擊廣告後，可以將用戶重新導向到惡意網站或觸發其他不必要的應用程式的下載/安裝。這些廣告通常覆蓋在網站內容上，進一步降低瀏覽體驗。

此外，廣告軟體類型的應用程式會秘密收集敏感的用戶信息，包括 IP 位址、訪問的網站 URL、搜尋查詢等，網路犯罪分子可能會利用這些資訊透過濫用私人資料來獲取金錢利益。