Multi-License Discount Quote
Banco de Dados de Ameaças Mac Malware Proxy Virus

Proxy Virus

Por Mezo em Mac Malware, Adware, Browser Hijackers, Programas potencialmente indesejados
Traduzir Para:
Português

O Proxy Virus, também conhecido como MITM Proxy Virus, é um tipo de programa intrusivo direcionado a usuários de Mac. O aplicativo é famoso por suas funcionalidades de sequestro de navegador. Os cibercriminosos empregam técnicas de distribuição duvidosas para propagar este Programa Potencialmente Indesejado (PPI), muitas vezes resultando numa infiltração silenciosa nos computadores sem o consentimento explícito dos utilizadores. É essencial que os usuários reconheçam que os PUPs, como o Proxy Virus, podem funcionar como adware, bombardeando os usuários com anúncios intrusivos. Além disso, são propensos a registar a atividade de navegação, comprometendo potencialmente a privacidade e a segurança dos utilizadores.

Como o ProxyVirus Funciona depois de Instalado?

A instalação inicial do adware parece rotineira, mas após a instalação, os usuários encontram uma mensagem pop-up enganosa solicitando que atualizem o navegador Safari. Ao clicar em ‘OK’, outro pop-up solicita que os usuários insiram as credenciais de sua conta. Esta ação aparentemente inócua pode conceder inadvertidamente ao aplicativo duvidoso autorização para controlar o navegador Safari.

Além disso, instaladores fraudulentos executam um 'script bash' projetado para conectar um servidor remoto e descarregar um arquivo .zip. Depois de baixado, o arquivo é extraído e um arquivo .plist contido nele é copiado para o diretório LaunchDaemons.

O arquivo .plist contém uma referência a outro arquivo chamado 'Titanium.Web.Proxy.Examples.Basic.Standard'. Além disso, dois scripts complementares ('change_proxy.sh' e 'trust_cert.sh') são executados após a reinicialização subsequente. O script 'change_proxy.sh' altera as configurações de proxy do sistema para utilizar um proxy HTTP/S em 'localhost:8003.'

Por outro lado, o script ‘trust_cert.sh’ instala um certificado SSL confiável nas chaves. Essa infecção é orquestrada por cibercriminosos que utilizam o Titanium Web Proxy, um proxy HTTP(S) assíncrono de código aberto escrito em C Sharp (C#). Notavelmente, o Titanium Web Proxy é multiplataforma, permitindo operar em vários sistemas operacionais, incluindo MacOS.

O objetivo principal desta infecção é sequestrar mecanismos de pesquisa, permitindo que os cibercriminosos manipulem os resultados de pesquisa na Internet. Esta abordagem desvia-se da utilização convencional de motores de pesquisa falsos; em vez disso, os cibercriminosos aproveitam os aplicativos de sequestro de navegador para modificar configurações como URL da nova guia, mecanismo de pesquisa padrão e página inicial, atribuindo-os a URLs específicos.

Os Falsos Mecanismos de Pesquisa e Sequestradores de Navegador Geralmente Levam a Maiores Riscos de Privacidade e Segurança

Os sites promovidos muitas vezes imitam a aparência de mecanismos de pesquisa legítimos e conhecidos como Bing, Yahoo e Google, fazendo com que pareçam comuns à primeira vista. No entanto, esses mecanismos de pesquisa falsos podem gerar resultados de pesquisa que direcionam os utilizadores para sites potencialmente inseguros. Além disso, os utilizadores podem notar alterações nas configurações do seu navegador, especialmente através de redirecionamentos frequentes para sites duvidosos, sinalizando possível manipulação.

Embora os cibercriminosos enfrentem desafios no emprego de ferramentas como o Proxy Virus, eles consideram-nas mais confiáveis para as suas atividades nefastas. Eles também podem recorrer à modificação do conteúdo de mecanismos de pesquisa legítimos para fornecer resultados de pesquisa falsos. Por exemplo, embora o site do mecanismo de pesquisa Google pareça genuíno em sua totalidade, incluindo URL, cabeçalho e rodapé, a infecção altera a seção de resultados, enganando os usuários fazendo-os acreditar que estão visualizando resultados de pesquisa legítimos.

Este comportamento enganoso pode expor os utilizadores a várias infecções de alto risco, pois podem visitar involuntariamente sites inseguros. Além disso, os cibercriminosos exploram tais táticas para direcionar o tráfego para websites específicos, permitindo-lhes lucrar através das receitas publicitárias.

A presença do vírus Proxy pode atrapalhar gravemente a experiência de navegação e aumentar a probabilidade de novas infecções no computador. Os aplicativos adware geralmente veiculam anúncios, incluindo cupons, banners e pop-ups, que podem redirecionar os usuários para sites duvidosos.

Além disso, o adware pode ter a capacidade de coletar informações confidenciais do usuário, como endereços IP, URLs de sites visitados, páginas visualizadas e consultas de pesquisa. Estes dados são frequentemente partilhados com terceiros, incluindo criminosos cibernéticos, que os exploram para obter ganhos financeiros. Consequentemente, o rastreamento não autorizado de informações do usuário apresenta riscos significativos à privacidade, podendo levar ao roubo de identidade ou outras consequências graves.

Os PPIs Dependem Fortemente de Práticas de Distribuição Questionáveis

Os PPIs dependem fortemente de práticas de distribuição questionáveis para se infiltrarem nos sistemas dos utilizadores sem o seu consentimento explícito. Aqui estão alguns métodos principais que eles usam:

  • Pacote de software : Os PPIs geralmente vêm junto com downloads de software legítimos. Os utilizadores podem instalar involuntariamente o PPI juntamente com o software desejado sem se aperceberem, pois tendem a apressar o processo de instalação sem rever cuidadosamente os termos e condições ou desmarcar ofertas opcionais.
  • Publicidade enganosa : Os PPIs são frequentemente promovidos por meio de anúncios enganosos, que podem aparecer como ofertas ou promoções legítimas que incentivam os usuários a baixar e instalar o software. Esses anúncios geralmente empregam linguagem ou recursos visuais enganosos para induzir os usuários a clicar neles.
  • Atualizações e alertas falsos : Os PPIs podem se disfarçar como atualizações de software ou alertas de sistema, solicitando que os usuários baixem e instalem o que parecem ser atualizações críticas ou patches de segurança. Na realidade, estas atualizações são muitas vezes fachadas para instalações de PPIs, explorando a confiança dos utilizadores nas atualizações de software para obter acesso não autorizado aos seus sistemas.
  • Phishing e engenharia social : Os PPIs também podem empregar táticas de phishing e técnicas de engenharia social para manipular os usuários para que os instalem. Isso pode incluir e-mails fraudulentos ou mensagens que parecem ser de fontes confiáveis, incentivando os usuários a baixar e instalar software para resolver supostos problemas ou desbloquear conteúdo exclusivo.
  • Plataformas freeware e shareware : Os PPIs são frequentemente distribuídos por meio de plataformas freeware e shareware, onde os usuários podem baixar software gratuitamente ou a um custo reduzido. Essas plataformas podem não examinar adequadamente o software que hospedam, permitindo que os PPIs escapem e alcancem usuários desavisados.

No geral, os PPIs empregam uma variedade de práticas de distribuição questionáveis para se infiltrarem sub-repticiamente nos sistemas dos utilizadores, capitalizando a falta de conhecimento, pressa e confiança dos utilizadores nas fontes de software. Ao compreender essas táticas, os usuários podem tomar medidas proativas para se protegerem de instalações de software indesejadas.

Postagens Relacionadas

Proxy do Tor Engana Vítimas de Ransomware e Operadores

Computer Security
Em abril de 2017, a Symantec publicou um relatório de pesquisa segundo o qual cerca de 47% das vítimas que pagam o resgate após uma infecção por ransomware nunca recuperam seus arquivos. Agora, você pode ser amargo e dizer que é isso que eles merecem por tentar negociar com os cibercriminosos, mas vamos dar uma olhada na situação de outra perspectiva. Você acorda um dia e todas as suas fotos de...

Tendendo

Mais visto

Carregando...