Proxy-virus
Proxy Virus, ook bekend als MITM Proxy Virus, is populair geworden als een vorm van browserkapersoftware. Om deze infectie te verspreiden, maken cybercriminelen vaak gebruik van verschillende adware-applicaties, waarbij ze vaak computers infiltreren zonder toestemming van de gebruiker. Het is ook bekend dat deze adwareprogramma's intrusieve advertenties weergeven en browsergerelateerde gegevens verzamelen.
Het initiële installatieproces van adware lijkt onschadelijk, maar tijdens de installatie komen gebruikers een misleidend pop-upbericht tegen waarin hen wordt gevraagd de Safari-webbrowser bij te werken. Nadat ze op "OK" hebben geklikt, krijgen gebruikers een nieuwe pop-up te zien waarin om accountgegevens wordt gevraagd. Hierdoor wordt adware onbedoeld toestemming verleend om de Safari-browser te manipuleren.
Bovendien gebruiken frauduleuze installatieprogramma's een 'bash-script' om verbinding te maken met een externe server en een .zip-archief te downloaden, waaruit een .plist-bestand wordt uitgepakt en naar de map LaunchDaemons wordt gekopieerd. Dit .plist-bestand verwijst naar een ander bestand met de naam "Titanium.Web.Proxy.Examples.Basic.Standard." Vervolgens worden na de volgende herstart twee extra scripts ("change_proxy.sh" en "trush_cert.sh") uitgevoerd. Het script "change_proxy.sh" wijzigt de proxy-instellingen van het systeem om HTTP/S-proxy op "localhost:8003" te gebruiken, terwijl het script "trush_cert.sh" een vertrouwd SSL-certificaat in de sleutelhanger installeert.
De cybercriminelen die verantwoordelijk zijn voor deze infectie maken gebruik van Titanium Web Proxy, een open-source asynchrone HTTP(S)-proxy geschreven in C Sharp (C#). Het is een platformonafhankelijke proxy die op verschillende besturingssystemen kan draaien, waaronder MacOS.
Hoe werkt het proxyvirus?
Het primaire doel van deze infectie is het kapen van zoekmachines, waardoor cybercriminelen de zoekresultaten op internet kunnen manipuleren. Hoewel het gebruik van een proxy voor dit doel onconventioneel is, wijzigen cybercriminelen doorgaans de browserinstellingen via browserkapers om gebruikers om te leiden naar specifieke URL's, die vaak lijken op legitieme zoekmachines zoals Bing, Yahoo of Google. Deze valse zoekmachines kunnen echter resultaten opleveren die naar kwaadaardige websites leiden, wat blijkt uit de voortdurende doorverwijzingen naar dubieuze sites.
Proxy Virus compliceert cybercriminele activiteiten en garandeert tegelijkertijd de betrouwbaarheid. Valse zoekresultaten worden geleverd door te knoeien met de inhoud van legitieme zoekmachines, waardoor gebruikers misleidende resultaten krijgen, zelfs als ze authentieke zoekmachines zoals Google gebruiken.
Dergelijke misleidende tactieken verstoren niet alleen de surfervaring, maar brengen ook aanzienlijke risico's met zich mee, die mogelijk kunnen leiden tot verdere computerinfecties en meer verkeer naar bepaalde websites, waardoor het genereren van inkomsten via advertenties wordt vergemakkelijkt.
De aanwezigheid van het Proxy Virus heeft een drastische invloed op de surfervaring en kan leiden tot verdere computerinfecties. Applicaties van het adware-type zijn berucht vanwege het weergeven van advertenties die, wanneer erop wordt geklikt, gebruikers kunnen omleiden naar kwaadaardige websites of het downloaden/installeren van andere ongewenste apps kunnen activeren. Deze advertenties, die vaak als overlay over de website-inhoud worden weergegeven, verslechteren de surfervaring nog verder.
Bovendien verzamelen adware-applicaties clandestien gevoelige gebruikersinformatie, waaronder IP-adressen, bezochte website-URL's, zoekopdrachten en meer, die door cybercriminelen kunnen worden uitgebuit voor geldelijk gewin door misbruik van privégegevens.
