Virus proxy
Proxy Virus, también conocido como MITM Proxy Virus, ha ganado popularidad como una forma de software de secuestro de navegador. Para propagar esta infección, los ciberdelincuentes suelen aprovechar diversas aplicaciones de tipo publicitario, que a menudo se infiltran en los ordenadores sin el consentimiento del usuario. También se sabe que estos programas publicitarios muestran anuncios intrusivos y recopilan datos relacionados con la navegación.
El proceso de instalación inicial del adware parece inofensivo, pero tras la instalación, los usuarios encuentran un mensaje emergente engañoso que les solicita que actualicen el navegador web Safari. Después de hacer clic en "Aceptar", a los usuarios se les presenta otra ventana emergente que solicita las credenciales de la cuenta. Esto, sin darse cuenta, otorga permiso al adware para manipular el navegador Safari.
Además, los instaladores fraudulentos utilizan un 'script bash' para conectarse a un servidor remoto y descargar un archivo .zip, del cual se extrae un archivo .plist y se copia al directorio LaunchDaemons. Este archivo .plist hace referencia a otro archivo llamado "Titanium.Web.Proxy.Examples.Basic.Standard". Posteriormente, se ejecutan dos scripts adicionales ("change_proxy.sh" y "trush_cert.sh") después del siguiente reinicio. El script "change_proxy.sh" altera la configuración del proxy del sistema para utilizar el proxy HTTP/S en "localhost:8003", mientras que el script "trush_cert.sh" instala un certificado SSL confiable en el llavero.
Los ciberdelincuentes responsables de esta infección aprovechan Titanium Web Proxy, un proxy HTTP(S) asíncrono de código abierto escrito en C Sharp (C#). Es un proxy multiplataforma, capaz de ejecutarse en varios sistemas operativos, incluido MacOS.
¿Cómo funciona el virus proxy?
El objetivo principal de esta infección es secuestrar motores de búsqueda, permitiendo a los ciberdelincuentes manipular los resultados de búsqueda en Internet. Si bien el uso de un proxy para este propósito no es convencional, los ciberdelincuentes generalmente modifican la configuración del navegador mediante aplicaciones de secuestro del navegador para redirigir a los usuarios a URL específicas, que a menudo se asemejan a motores de búsqueda legítimos como Bing, Yahoo o Google. Sin embargo, estos motores de búsqueda falsos pueden generar resultados que conduzcan a sitios web maliciosos, lo que se evidencia a través de redireccionamientos continuos a sitios dudosos.
Proxy Virus complica las actividades de los ciberdelincuentes al tiempo que garantiza la confiabilidad. Los resultados de búsqueda falsos se obtienen alterando el contenido legítimo del motor de búsqueda, proporcionando a los usuarios resultados engañosos incluso cuando utilizan motores de búsqueda auténticos como Google.
Estas tácticas engañosas no sólo disminuyen la experiencia de navegación, sino que también plantean riesgos importantes, que pueden provocar más infecciones informáticas y un aumento del tráfico a determinados sitios web, lo que facilita la generación de ingresos a través de la publicidad.
La presencia de Proxy Virus afecta drásticamente las experiencias de navegación y puede provocar más infecciones en el ordenador. Las aplicaciones de tipo publicitario son conocidas por mostrar anuncios que, al hacer clic en ellos, pueden redirigir a los usuarios a sitios web maliciosos o desencadenar la descarga/instalación de otras aplicaciones no deseadas. Estos anuncios, a menudo superpuestos al contenido del sitio web, degradan aún más la experiencia de navegación.
Además, las aplicaciones de tipo publicitario recopilan clandestinamente información confidencial del usuario, incluidas direcciones IP, URL de sitios web visitados, consultas de búsqueda y más, que los ciberdelincuentes pueden aprovechar para obtener ganancias monetarias mediante el uso indebido de datos privados.
