プロキシウイルス
プロキシ ウイルス (別名 MITM プロキシ ウイルス) は、ブラウザ ハイジャック ソフトウェアの一種として人気を博しています。この感染を広めるために、サイバー犯罪者はさまざまなアドウェア タイプのアプリケーションを頻繁に悪用し、ユーザーの同意なしにコンピュータに侵入することがよくあります。これらのアドウェア プログラムは、煩わしい広告を配信したり、ブラウジング関連のデータを収集したりすることでも知られています。
アドウェアの初期インストール プロセスは無害に見えますが、インストール時に、Safari Web ブラウザの更新を促す偽のポップアップ メッセージが表示されます。[OK] をクリックすると、アカウント認証情報を要求する別のポップアップが表示されます。これにより、アドウェアに Safari ブラウザを操作する許可が意図せず付与されてしまいます。
さらに、不正なインストーラーは「bash スクリプト」を使用してリモート サーバーに接続し、.zip アーカイブをダウンロードします。このアーカイブから .plist ファイルが抽出され、LaunchDaemons ディレクトリにコピーされます。この .plist ファイルは、「Titanium.Web.Proxy.Examples.Basic.Standard」という名前の別のファイルを参照します。その後、次の再起動後に 2 つの追加スクリプト (「change_proxy.sh」と「trush_cert.sh」) が実行されます。「change_proxy.sh」スクリプトは、システム プロキシ設定を変更して「localhost:8003」で HTTP/S プロキシを使用するようにし、「trush_cert.sh」スクリプトは、信頼できる SSL 証明書をキーチェーンにインストールします。
この感染を引き起こしたサイバー犯罪者は、C# (C Sharp) で書かれたオープンソースの非同期 HTTP(S) プロキシである Titanium Web Proxy を利用しています。これはクロスプラットフォーム プロキシであり、MacOS を含むさまざまなオペレーティング システムで実行できます。
プロキシウイルスはどのように機能しますか?
この感染の主な目的は、検索エンジンを乗っ取り、サイバー犯罪者がインターネットの検索結果を操作できるようにすることです。この目的でプロキシを使用するのは一般的ではありませんが、サイバー犯罪者は通常、ブラウザ乗っ取りアプリケーションを介してブラウザ設定を変更し、ユーザーを特定の URL にリダイレクトします。多くの場合、その URL は Bing、Yahoo、Google などの正当な検索エンジンに似ています。ただし、これらの偽の検索エンジンは、疑わしいサイトへの継続的なリダイレクトによって明らかなように、悪意のある Web サイトにつながる結果を生成する場合があります。
プロキシ ウイルスは、信頼性を確保しながらサイバー犯罪活動を複雑化します。正当な検索エンジンのコンテンツを改ざんすることで偽の検索結果が提供され、Google などの本物の検索エンジンを使用しているときでも、ユーザーに偽の結果が提供されます。
このような欺瞞的な戦術は、ブラウジング体験を低下させるだけでなく、重大なリスクをもたらし、さらなるコンピュータ感染や特定の Web サイトへのトラフィックの増加につながり、広告による収益の創出を促進する可能性があります。
プロキシ ウイルスの存在は、ブラウジング体験に劇的な影響を及ぼし、さらなるコンピュータ感染につながる可能性があります。アドウェア タイプのアプリケーションは広告を配信することで有名で、クリックすると、ユーザーを悪意のある Web サイトにリダイレクトしたり、他の不要なアプリのダウンロード/インストールを引き起こしたりすることがあります。これらの広告は、多くの場合、Web サイトのコンテンツに重ねて表示され、ブラウジング体験をさらに低下させます。
さらに、アドウェアタイプのアプリケーションは、IP アドレス、アクセスした Web サイトの URL、検索クエリなど、ユーザーの機密情報を密かに収集します。サイバー犯罪者は、これらの情報を利用して個人データを悪用し、金銭的利益を得る可能性があります。