Der er næppe en aktiv online bruger, der ikke ved, hvad en PUP er (meste fra første hånd erfaring). I bedste fald, potentielt uønskede programmer giver lidt at ingen fordel, og i værste fald, de kan være ganske skadeligt for dit system. Ud over at optage plads på din harddisk, de også gøre computeren langsommere, oversvømme dig med påtrængende annoncer, og ofte ændre indstillingerne for din browser uden din viden eller tilladelse. Uønsket software kommer ofte sammen med adware og / eller spyware bundtet inde installationspakken.
Adware fortsætter med at være skadelig
En ny forskning i maj 2019 bekræfter den ondsindede karakter af adware og PUP. Forskere Xavier de Carne de Carnavalet og Mohammad Mannan analyseret en velkendt spiller på det adware virksomhed er kendt som Wajam. Forskerne undersøgte udviklingen af Wajam i løbet af næsten seks år. Fra 2016, afsløret af Kontoret for Privacy Commissioner of Canada, Wajam havde ”hundreder af millioner af installationer” og indsamlet 400TB af private oplysninger fra brugere, hedder det i rapporten.
Wajam har eksisteret siden 2013. I fortiden, det blev annonceret som en social søgning browser add-on, der giver brugerne mulighed for at finde, hvad information er blevet søgt på nettet eller deles af deres venner på sociale platforme som Twitter og Facebook. Da dette er en annonce-understøttet browser plug-in, Wajam er kendt for at vise forskellige reklamer, som nogle brugere finder temmelig irriterende. Hvad tænder Wajam til et potentielt uønsket program er risikoen for forskellige infektioner, der er involveret med pop-up, banner og in-tekstannoncer, hvilket kan få brugeren til at ubekræftede og usikre websider.
Med andre ord, Wajam har været kendt for at injicere annoncer i browseren trafik, bruger teknikker, malware operatører brug, såsom man-in-the-browser (browser proces injektion) angreb ses i Zeus operationer. Andre eksempler omfatter anti-analyse og undvigeteknikker, sikkerhedspolitik nedgradering og data lækage. Læs mere om den Wajam undersøgelse.
Hvordan fungerer pay-per-install-ordningen? Som påpeget af Kevin Stevens i en rapport, Sikkerhedsforsker hos SecureWorks Counter Threat Unit, Pay-Per-Install forretningsmodellen har eksisteret i mange år. Da det først startede, det blev primært brugt til at distribuere annoncer, hvorimod det i dag hovedsageligt bruges til at levere spyware og malware trusler.
Forretningen er initieret af en affiliate, der er interesseret i at skabe et netværk af inficerede computere. Den nævnte affiliate tilmelder sig derefter et PPI-websted og modtager en fil fra PPI-udbyderen, som oprindeligt plejede at være en variant af et adware-program. Derefter, affiliate bundter den PPI-leverede fil med et andet program, der kunne hostes på deres websted. Dette er også kendt som et bindeprogram, der kan kombinere adwaren fra PPI-webstedet med et kendt program. Slutmålet er et offer, der downloader programmet og får installeret adware på deres computer. Når dette sker, nævnte affiliate betales pr. installation.
Hvis du har hentet software, meste freeware, du har helt sikkert oplevet adware, eller det uventede, påtrængende pop-up reklamer, der kommer ud ubudne på din skærm. PUP er irriterende, og det er en kendsgerning, ingen kan benægte, især når der er en specifik forskning for yderligere at illustrere den potentielle skade af disse programmer. Ifølge denne særlige forskning, vi er ved at opsluge, uønsket software er en del af meget rentable globale industri, beskyttet af lag af benægtelse. Intet under bundtet forretning er så vellykket!
Den forskning, vi taler om, er beskrevet i et papir, “Undersøgelse Kommerciel Pay-Per-Installer og distribution af uønsket software“, og udføres af forskere fra Google, New York University, International Computer Science Institute. Forskere “udforske økosystem af kommercielle pay-per-installation (PPI) og den rolle den spiller i udbredelsen af uønsket software“.
Hvad er kommerciel betaling pr. installation (PPI)?
Udviklere af disse familier betale $ 0,10 $ 1,50 per install-upfront omkostninger, som de komme til hægterne ved at tjene penge på brugere, uden deres samtykke eller ved at opkræve ublu abonnement. Baseret på Google Sikker browsing telemetri, Vi anslår, at PPI-net drevet over 60 millioner downloade forsøger hver uge-næsten tre gange større end malware. Mens anti-virus og browsere har rullet ud forsvar til at beskytte brugerne mod uønsket software, vi finder beviser for, at PPI-netværk aktivt forstyrre eller undgå opdagelse.
Som du kan se, der er en stærk sammenhæng mellem pay-per-installere praksis og spredning af uønskede programmer. Symantec forskere har tidligere kaldt pay-per-installation “den nye malware distributionsnet“, understreger på det faktum, at i den nærmeste fortid malware (lignende orm) blev selvstændig formerings med hjælp af server-side sårbarheder. Forskningsresultaterne også viser de vildledende praksis i nogle kommercielle PPI operatører, der i øjeblikket holde ud, og vil sandsynligvis fortsætte med at gøre det i fremtiden.
Senere angrebet fokus flyttet til klientsiden angreb og sociale teknikker (ligesom phishing). I disse angreb, brugerinteraktion er nødvendig - det potentielle offer skal besøge en kompromitteret website, åbne en vedhæftet fil, etc. Selvom disse teknikker helt sikkert give resultater, de vil ikke udbrede malware eller uønsket software på en større skala.
Dette er, hvordan det pay-per-installere distributionsmodel ind på markedet. Det faktum, at det er en gråzone gør tingene ganske kompliceret at håndtere.
Den pay-per-installere distributionsmodel bygger på deling og provision indtægter. Malware forfattere ikke har ressourcer eller båndbredde til at sprede deres malware i stor skala. I stedet de er afhængige af et netværk af datterselskaber, der distribuerer malware, og til gengæld få betalt en provision for hver installation. [via Symantec rapport]
Naturligvis, kommerciel PPI er en meget effektiv indtægtsgenerering ordning, hvor tredjepartsprogrammer er bundtet med lovlig software. Udover software brugeren ønskede i første omgang at installere, han vil også få en bonus - et stykke af uønsket stykke kode, der vil påvirke udførelsen af hans system. Den værste fald her er at få et stykke af nasty malware. I bedste fald er den pludselige tilsynekomst af annoncer eller pop-up-advarsler om en opdaget trussel (den velkendte tech-support, slyngelstater AV og scareware-svindel).
Men, disse annoncer og pop-ups kan senere link til en kompromitteret hjemmeside fyldt med exploits, som regel ender med ransomware fordeling. Eller følsomme oplysninger kan indsamles fra brugere, som senere kan udnyttes i yderligere angreb, eller kan sælges på det sorte marked. Så enhver case scenario er slemt nok for dig til at undgå det!
Under deres forskning, eksperterne fra Google, New York University, og International Computer Science Institute fokuseret på fire PPI søsterselskaber (Og netize, InstallMonetizer, OpenCandy, og Outbrowse) og regelmæssigt hentede softwarepakker til forskellige analyser. Hvad overraskede dem mest var, i hvilket omfang downloads er personligt til at maksimere chancerne for deres nyttelast leveres.
Hvad er de længst kørende PPI kampagner?
Ad Indsprøjtningsdyser
Annonceinjektorer er designet til at ændre en brugers browseroplevelse og erstatte eller indsætte yderligere annoncer, som ellers ikke ville blive vist på et websted. De fleste PPI-netværk er blevet observeret at deltage i distributionen af reklameinjektorer.
Browser Indstillinger Hijackers
Disse er trusler designet til specifikt at ændre browserens indstillinger på en måde, så de er vedvarende og svære at fjerne.
System Utilities
Disse inkluderer scareware-tilgange designet til at skræmme ofret til at købe et useriøst produkt. Denne kategori omfatter forskellige speedup-værktøjer og useriøse sikkerhedsprodukter.
Hvorfor gennemsnitlige bruger bør bekymre sig om PPI Industri
Vidste du, at PPI-net giver generelt annoncørerne mulighed for at pre-kontrollere, om en antivirus motor er til stede på systemet før vise annoncørens tilbud? luskede, højre? Denne præ-kontrol er baseret på en sortliste over nøgler i registreringsdatabasen, filstier, og registreringsdatabasen strygere angivet af særlige annoncør. Forskerne lavede en liste over 58 fælles anti-virus tokens, der vises i en tilfældig stikprøve af præ-check krav, sammen med navnene på de AV virksomheder, der deltager i VirusTotal.
Derefter, de scannet alle tilbud installationskrav for disse tokens. Hvad de indgået på grundlag af deres datasæt er, at 20% drage fordel af PPI Downloader kapaciteter, der forhindrer installationer sker på systemer, der er udstyret med en AV løsning. Når en AV kontrol er til stede, annoncører målrette et gennemsnit på 3.6 familien. Hvad forskerne mener er, at PPI-netværk understøtter uønskede softwareudviklere som førsteklasses forretningspartnere.
Hvad kan der gøres for neutraliseres Skader på PPI kampagner?
I en nøddeskal, Undersøgelsen afslører, at PPI affiliate netværk support og sprede uønsket software som:
- Ad injektorer
- Browser indstillinger flykaprere
- Systemværktøjer
Én metode brugerne ofte stole på at rydde op i deres browsere er Oprydningsværktøj til Chrome. Før skulle bruge et sådant redskab, du måske overveje en tjeneste som Google Sikker browsing. Tjenesten lader klientprogrammer kontrollere URL'er mod Googles hyppigt opdaterede lister over usikre web-ressourcer. (Ekstra sikkerhed tips findes under artiklen).
De uønskede installationer er absolut mere end man kan forestille sig - i alt, PPI økosystem bidrog til over 60 million ugentlige forsøg downloade. Succesen skyldes dels det faktum, at kommercielle PPI-net udvikler sig i overensstemmelse med AV markedet.
Selv om mange AV-løsninger og browsere er begyndt at integrere underskrifter uønsket software, netværkene kontinuerligt forsøge at omgå denne beskyttelse. Men, den omstændighed, at en annoncør ville ophøre en installer, når en AV er til stede på et system sigende. Undervurder aldrig kraften i dit antivirusprogram! Og holde din ad-blocker på!
Ekstra Sikkerhed Tips mod uønsket software og malware
- Brug yderligere beskyttelse firewall. Download af en anden firewall er en fremragende løsning for eventuelle indtrængen.
- Dine programmer bør have mindre administrative magt over, hvad de læser og skriver på computeren. Gør dem spørge dig admin adgang, før du starter.
- Brug stærkere adgangskoder. Stærkere adgangskoder (helst dem, der ikke er ord) er sværere at knække ved flere metoder, herunder brute tvinger da det indeholder pass lister med relevante ord.
- Sluk Automatisk afspilning. Dette beskytter din computer mod ondsindede eksekverbare filer på USB-sticks eller andre eksterne hukommelse luftfartsselskaber, der straks indsat i det.
- Deaktiver fildeling - anbefales, hvis du har brug for fildeling mellem din computer at password beskytte det at begrænse truslen kun dig selv, hvis inficeret.
- Sluk eventuelle eksterne tjenester - det kan være ødelæggende for virksomhedsnetværk, da det kan forårsage en masse skader i massivt omfang.
- Overvej at deaktivere eller fjerne Adobe Flash Player (afhængigt af browseren).
- Konfigurer din mailserver til at blokere og slette mistænkelig fil vedhæftede indeholder e-mails.
- Gå aldrig glip af en opdatering til dit operativsystem og software.
- Sluk Infrarøde porte eller Bluetooth.
- Hvis du har en kompromitteret computer i dit netværk, sørg straks for at isolere den ved at kraftoverførsel det ud og afmonterer den med hånden fra netværket.
- Ansæt en kraftfuld anti-malware løsning til at beskytte dig mod eventuelle fremtidige trusler automatisk.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: