Proxy Virüsü
MITM Proxy Virüsü olarak da adlandırılan Proxy Virüsü, Mac kullanıcılarını hedef alan bir tür izinsiz programdır. Uygulama, tarayıcı ele geçirme işlevleriyle ünlüdür. Siber suçlular, bu Potansiyel Olarak İstenmeyen Programı (PUP) yaymak için şüpheli dağıtım teknikleri kullanır ve bu genellikle kullanıcıların açık izni olmadan bilgisayarlara sessiz bir şekilde sızmayla sonuçlanır. Kullanıcıların, Proxy Virüsü gibi PUP'ların reklam yazılımı olarak işlev görerek kullanıcıları izinsiz reklamlarla bombardımana tutabileceğini bilmeleri önemlidir. Ek olarak, tarama etkinliklerini kaydetmeye eğilimlidirler, bu da potansiyel olarak kullanıcıların gizliliğini ve güvenliğini tehlikeye atar.
İçindekiler
Proxy Virüsü Kurulduktan Sonra Nasıl Çalışır?
Reklam yazılımının ilk kurulumu rutin görünüyor, ancak kurulum sonrasında kullanıcılar, Safari web tarayıcılarını güncellemelerini isteyen yanıltıcı bir açılır mesajla karşılaşıyor. 'Tamam' tıklandığında başka bir açılır pencere, kullanıcılardan hesap kimlik bilgilerini girmelerini ister. Görünüşte zararsız olan bu eylem, şüpheli uygulamaya yanlışlıkla Safari tarayıcısını kontrol etme yetkisi verebilir.
Ayrıca, hileli yükleyiciler uzak bir sunucuya bağlanmak ve bir .zip arşivini indirmek için tasarlanmış bir 'bash betiği' çalıştırır. İndirildikten sonra arşiv çıkarılır ve içindeki .plist dosyası LaunchDaemons dizinine kopyalanır.
.plist dosyası, 'Titanium.Web.Proxy.Examples.Basic.Standard' adlı başka bir dosyaya referans içerir. Ek olarak, sonraki yeniden başlatmanın ardından iki ek komut dosyası ('change_proxy.sh' ve 'trust_cert.sh') yürütülür. 'change_proxy.sh' betiği, sistem proxy ayarlarını 'localhost:8003' adresinde bir HTTP/S proxy kullanacak şekilde değiştirir.
Öte yandan, 'trust_cert.sh' betiği anahtarlığa güvenilir bir SSL sertifikası yükler. Bu enfeksiyon, C Sharp (C#) ile yazılmış, açık kaynaklı, eşzamansız bir HTTP(S) proxy'si olan Titanium Web Proxy'den yararlanan siber suçlular tarafından düzenlenmektedir. Titanium Web Proxy'nin platformlar arası olması, MacOS dahil çeşitli işletim sistemlerinde çalışmasına olanak tanıyor.
Bu enfeksiyonun temel amacı, arama motorlarını ele geçirerek siber suçluların İnternet arama sonuçlarını değiştirmesine olanak sağlamaktır. Bu yaklaşım, sahte arama motorlarının geleneksel kullanımından farklıdır; bunun yerine siber suçlular, yeni sekme URL'si, varsayılan arama motoru ve ana sayfa gibi ayarları belirli URL'lere atayarak değiştirmek için tarayıcı ele geçirme uygulamalarından yararlanır.
Sahte Arama Motorları ve Tarayıcı Korsanları Çoğunlukla Gizlilik ve Güvenlik Risklerinin Artmasına Neden Olur
Tanıtılan web siteleri genellikle Bing, Yahoo ve Google gibi tanınmış ve meşru arama motorlarının görünümünü taklit ederek ilk bakışta sıradan görünmelerini sağlar. Ancak bu sahte arama motorları, kullanıcıları potansiyel olarak güvenli olmayan web sitelerine yönlendiren arama sonuçları üretebilir. Ek olarak, kullanıcılar tarayıcı ayarlarında, özellikle şüpheli sitelere sık sık yapılan yönlendirmeler nedeniyle olası manipülasyonların sinyalini veren değişiklikler fark edebilirler.
Siber suçlular, Proxy Virüsü gibi araçları kullanma konusunda zorluklarla karşılaşsa da, bunların hain faaliyetleri için daha güvenilir olduğunu düşünüyorlar. Ayrıca sahte arama sonuçları sunmak için meşru arama motorlarının içeriğini değiştirmeye de başvurabilirler. Örneğin, Google arama motorunun web sitesi, URL, üstbilgi ve altbilgi de dahil olmak üzere bütünüyle orijinal görünse de, virüs, sonuçlar bölümünü değiştirerek kullanıcıları meşru arama sonuçlarını görüntülediklerine inandırarak aldatır.
Bu aldatıcı davranış, kullanıcıları farkında olmadan güvenli olmayan web sitelerini ziyaret edebilecekleri için çeşitli yüksek riskli enfeksiyonlara maruz bırakabilir. Dahası, siber suçlular trafiği belirli web sitelerine yönlendirmek ve reklam geliri yoluyla kâr elde etmelerini sağlamak için bu tür taktiklerden yararlanıyor.
Proxy Virüsünün varlığı, tarama deneyimini ciddi şekilde bozabilir ve bilgisayara daha fazla bulaşma olasılığını artırabilir. Reklam yazılımı uygulamaları genellikle kuponlar, afişler ve açılır pencereler dahil olmak üzere kullanıcıları şüpheli web sitelerine yönlendirebilecek reklamlar sunar.
Ayrıca reklam yazılımları, IP adresleri, ziyaret edilen web sitesi URL'leri, görüntülenen sayfalar ve arama sorguları gibi hassas kullanıcı bilgilerini toplama yeteneğine sahip olabilir. Bu veriler genellikle siber suçlular da dahil olmak üzere, bunları mali kazanç elde etmek için kullanan üçüncü taraflarla paylaşılır. Sonuç olarak, kullanıcı bilgilerinin yetkisiz takibi, önemli gizlilik riskleri oluşturur ve potansiyel olarak kimlik hırsızlığına veya diğer ciddi sonuçlara yol açabilir.
PUP'lar Büyük ölçüde Şüpheli Dağıtım Uygulamalarına Güveniyor
PUP'lar, kullanıcıların sistemlerine açık rızaları olmadan sızmak için büyük ölçüde şüpheli dağıtım uygulamalarına güveniyor. İşte kullandıkları bazı temel yöntemler:
- Birlikte Verilen Yazılımlar : PUP'lar genellikle meşru yazılım indirmeleriyle birlikte gelir. Kullanıcılar, hüküm ve koşulları dikkatli bir şekilde incelemeden veya isteğe bağlı tekliflerin seçimini kaldırmadan yükleme işlemini aceleye getirme eğiliminde olduklarından, kullanıcılar farkında olmadan PUP'u istenen yazılımın yanına yükleyebilirler.
- Yanıltıcı Reklam : PUP'lar sıklıkla, kullanıcıları yazılımı indirmeye ve yüklemeye teşvik eden meşru teklifler veya promosyonlar gibi görünebilen aldatıcı reklamlar yoluyla tanıtılır. Bu reklamlar, kullanıcıları reklamlara tıklamaya ikna etmek için sıklıkla yanıltıcı bir dil veya görseller kullanır.
Genel olarak PUP'lar, kullanıcıların sistemlerine gizlice sızmak için çeşitli şüpheli dağıtım uygulamaları kullanır ve kullanıcıların yazılım kaynaklarına olan farkındalık, acele ve güven eksikliğinden yararlanır. Kullanıcılar bu taktikleri anlayarak kendilerini istenmeyen yazılım kurulumlarından korumak için proaktif önlemler alabilirler.