Proxy-Virus

Proxy-Virus, auch bekannt als MITM-Proxy-Virus, hat als Browser-Hijacking-Software an Popularität gewonnen. Um diese Infektion zu verbreiten, nutzen Cyberkriminelle häufig verschiedene Adware-artige Anwendungen und infiltrieren Computer oft ohne Zustimmung des Benutzers. Diese Adware-Programme sind auch dafür bekannt, aufdringliche Werbung zu liefern und browserbezogene Daten zu sammeln.

Der anfängliche Installationsvorgang der Adware erscheint harmlos, doch nach der Installation wird den Benutzern eine irreführende Popup-Meldung angezeigt, die sie auffordert, den Safari-Webbrowser zu aktualisieren. Nachdem sie auf „OK“ geklickt haben, wird den Benutzern ein weiteres Popup angezeigt, das nach Kontoanmeldeinformationen fragt. Dadurch erhält die Adware unbeabsichtigt die Berechtigung, den Safari-Browser zu manipulieren.

Darüber hinaus verwenden betrügerische Installationsprogramme ein „Bash-Skript“, um eine Verbindung zu einem Remote-Server herzustellen und ein ZIP-Archiv herunterzuladen, aus dem eine .plist-Datei extrahiert und in das LaunchDaemons-Verzeichnis kopiert wird. Diese .plist-Datei verweist auf eine andere Datei namens „Titanium.Web.Proxy.Examples.Basic.Standard“. Anschließend werden nach dem nächsten Neustart zwei weitere Skripte („change_proxy.sh“ und „trush_cert.sh“) ausgeführt. Das Skript „change_proxy.sh“ ändert die Proxy-Einstellungen des Systems, um den HTTP/S-Proxy unter „localhost:8003“ zu verwenden, während das Skript „trush_cert.sh“ ein vertrauenswürdiges SSL-Zertifikat im Schlüsselbund installiert.

Die für diese Infektion verantwortlichen Cyberkriminellen nutzen Titanium Web Proxy, einen asynchronen Open-Source-HTTP(S)-Proxy, der in C Sharp (C#) geschrieben wurde. Es handelt sich um einen plattformübergreifenden Proxy, der auf verschiedenen Betriebssystemen, einschließlich MacOS, ausgeführt werden kann.

Wie funktioniert ein Proxy-Virus?

Das Hauptziel dieser Infektion besteht darin, Suchmaschinen zu kapern, damit Cyberkriminelle die Suchergebnisse im Internet manipulieren können. Die Verwendung eines Proxys zu diesem Zweck ist zwar unkonventionell, aber Cyberkriminelle ändern die Browsereinstellungen normalerweise über Browser-Hijacking-Anwendungen, um Benutzer auf bestimmte URLs umzuleiten, die oft legitimen Suchmaschinen wie Bing, Yahoo oder Google ähneln. Diese gefälschten Suchmaschinen können jedoch Ergebnisse liefern, die zu bösartigen Websites führen, was durch kontinuierliche Weiterleitungen auf zweifelhafte Websites erkennbar ist.

Proxy-Viren erschweren die Aktivitäten von Cyberkriminellen und sorgen gleichzeitig für Zuverlässigkeit. Durch Manipulation legitimer Suchmaschineninhalte werden gefälschte Suchergebnisse geliefert, sodass Benutzer selbst bei Verwendung authentischer Suchmaschinen wie Google irreführende Ergebnisse erhalten.

Derartige irreführende Taktiken verschlechtern nicht nur das Browser-Erlebnis, sondern bergen auch erhebliche Risiken, da sie möglicherweise zu weiteren Computerinfektionen und erhöhtem Datenverkehr auf bestimmten Websites führen und so die Generierung von Einnahmen durch Werbung erleichtern.

Das Vorhandensein eines Proxy-Virus beeinträchtigt das Surferlebnis erheblich und kann zu weiteren Computerinfektionen führen. Adware-artige Anwendungen sind dafür bekannt, Werbung zu liefern, die Benutzer beim Anklicken auf bösartige Websites umleiten oder den Download/die Installation anderer unerwünschter Apps auslösen kann. Diese Werbung, die oft den Website-Inhalt überlagert, verschlechtert das Surferlebnis noch weiter.

Darüber hinaus sammeln Adware-artige Anwendungen heimlich vertrauliche Benutzerinformationen wie IP-Adressen, URLs besuchter Websites, Suchanfragen und mehr, die von Cyberkriminellen ausgenutzt werden könnten, um durch Missbrauch privater Daten finanzielle Gewinne zu erzielen.