プロキシウイルス

プロキシ ウイルスは MITM プロキシ ウイルスとも呼ばれ、Mac ユーザーをターゲットにした侵入型プログラムの一種です。このアプリケーションは、ブラウザ ハイジャック機能で悪名高いです。サイバー犯罪者は、この潜在的に迷惑なプログラム (PUP) を拡散するために疑わしい配布手法を採用し、多くの場合、ユーザーの明示的な同意なしにコンピューターに静かに侵入します。プロキシ ウイルスなどの PUP はアドウェアとして機能し、ユーザーに侵入型広告を大量に表示することをユーザーが認識することが重要です。さらに、PUP はブラウジング アクティビティを記録する傾向があり、ユーザーのプライバシーとセキュリティを危険にさらす可能性があります。

プロキシウイルスはインストールされるとどのように動作しますか?

アドウェアの初期インストールは、通常の手順のように見えますが、インストールすると、Safari ウェブ ブラウザの更新を促す偽のポップアップ メッセージが表示されます。[OK] をクリックすると、別のポップアップが表示され、アカウントの資格情報を入力するように求められます。この一見無害なアクションにより、Safari ブラウザを制御するための疑わしいアプリケーションの権限が誤って付与される可能性があります。

さらに、不正なインストーラーは、リモート サーバーに接続して .zip アーカイブをダウンロードするように設計された「bash スクリプト」を実行します。ダウンロードされると、アーカイブが抽出され、そこに含まれる .plist ファイルが LaunchDaemons ディレクトリにコピーされます。

.plist ファイルには、「Titanium.Web.Proxy.Examples.Basic.Standard」という別のファイルへの参照が含まれています。さらに、その後の再起動後に 2 つの補助スクリプト (「change_proxy.sh」と「trust_cert.sh」) が実行されます。「change_proxy.sh」スクリプトは、システム プロキシ設定を変更して、「localhost:8003」の HTTP/S プロキシを使用します。

一方、「trust_cert.sh」スクリプトは、信頼できる SSL 証明書をキーチェーンにインストールします。この感染は、C# で記述されたオープンソースの非同期 HTTP(S) プロキシである Titanium Web Proxy を利用するサイバー犯罪者によって組織化されています。注目すべきは、Titanium Web Proxy はクロスプラットフォームであり、MacOS を含むさまざまなオペレーティングシステムで動作できることです。

この感染の主な目的は、検索エンジンを乗っ取り、サイバー犯罪者がインターネットの検索結果を操作できるようにすることです。このアプローチは、偽の検索エンジンを使用する従来の方法とは異なり、サイバー犯罪者はブラウザ乗っ取りアプリケーションを利用して、新しいタブの URL、デフォルトの検索エンジン、ホームページなどの設定を特定の URL に割り当てることで変更します。

偽の検索エンジンやブラウザハイジャッカーはプライバシーとセキュリティのリスクを増大させることが多い

宣伝されているウェブサイトは、Bing、Yahoo、Google などのよく知られた正規の検索エンジンの外観を模倣していることが多く、一見すると普通のもののように見えます。しかし、これらの偽の検索エンジンは、ユーザーを潜在的に安全でないウェブサイトに誘導する検索結果を生成する可能性があります。さらに、ユーザーは、特に疑わしいサイトへの頻繁なリダイレクトを通じて、ブラウザ設定の変更に気付く可能性があり、これは潜在的な操作の兆候です。

サイバー犯罪者はプロキシ ウイルスのようなツールの使用に課題を抱えていますが、悪質な活動にはその方が信頼できると考えています。また、正当な検索エンジンのコンテンツを変更して偽の検索結果を表示することもあります。たとえば、Google 検索エンジンの Web サイトは URL、ヘッダー、フッターを含めて全体的に本物に見えますが、感染すると結果セクションが変更され、ユーザーは正当な検索結果を見ていると信じてしまいます。

この欺瞞的な行為により、ユーザーは知らないうちに安全でない Web サイトにアクセスし、さまざまな高リスクの感染に晒される可能性があります。さらに、サイバー犯罪者はこのような戦術を利用して特定の Web サイトへのトラフィックを誘導し、広告収入で利益を得ています。

プロキシ ウイルスが存在すると、ブラウジング体験が著しく損なわれ、コンピュータがさらに感染する可能性が高くなります。アドウェア アプリケーションは、クーポン、バナー、ポップアップなどの広告を表示することが多く、ユーザーを疑わしい Web サイトにリダイレクトすることがあります。

さらに、アドウェアには、IP アドレス、アクセスした Web サイトの URL、表示したページ、検索クエリなどの機密性の高いユーザー情報を収集する機能がある場合があります。このデータは、金銭目的で悪用されるサイバー犯罪者などの第三者と共有されることがよくあります。その結果、ユーザー情報の不正な追跡は重大なプライバシー リスクをもたらし、個人情報の盗難やその他の深刻な結果につながる可能性があります。

PUPは疑わしい配布方法に大きく依存している

PUP は、ユーザーの明示的な同意なしにユーザーのシステムに侵入するために、疑わしい配布方法に大きく依存しています。以下に、PUP が使用する主な方法をいくつか示します。

• バンドルされたソフトウェア: PUP は、正規のソフトウェアのダウンロードにバンドルされていることがよくあります。ユーザーは、利用規約を注意深く確認したり、オプションのオファーを選択解除したりせずにインストール プロセスを急いで進める傾向があるため、PUP を意図しないまま目的のソフトウェアと一緒にインストールしてしまうことがあります。
• 欺瞞的な広告: PUP は、ソフトウェアをダウンロードしてインストールするようにユーザーを誘導する正当なオファーやプロモーションのように見える欺瞞的な広告を通じて宣伝されることがよくあります。これらの広告では、誤解を招くような言葉や画像が使用されることが多く、ユーザーをだましてクリックさせます。

全体的に、PUP はさまざまな疑わしい配布方法を採用して、ユーザーの無知、性急さ、ソフトウェア ソースへの信頼を利用して、ユーザーのシステムに密かに侵入します。これらの戦術を理解することで、ユーザーは望ましくないソフトウェアのインストールから身を守るための予防策を講じることができます。