Non c'è quasi un utente on-line attiva che non sanno cosa sia un PUP è (per lo più da esperienze di prima mano). Nella migliore delle ipotesi, programmi potenzialmente indesiderati forniscono poco o nessun beneficio, e nel peggiore dei casi, possono essere molto dannosi per il sistema. Oltre a occupare spazio sul disco rigido, ma anche rallentare il computer, si inondare con pubblicità intrusive, e spesso cambia le impostazioni del vostro browser senza la vostra conoscenza o permesso. software indesiderato spesso arriva con adware e / o spyware in bundle all'interno del pacchetto di installazione.
Correlata: La sottile linea rossa tra i PUP e malware
Adware continua ad essere dannoso
Una nuova ricerca condotta maggio 2019 conferma la natura dolosa di adware e PUP. I ricercatori Xavier de carne de Carnavalet e Mohammad Mannan analizzati un giocatore ben noto nel settore conosciuto come adware Wajam. I ricercatori hanno studiato l'evoluzione del Wajam nel corso di quasi sei anni. Come di 2016, rivelato da parte dell'Ufficio del Commissario per la Privacy del Canada, Wajam aveva “centinaia di milioni di installazioni” e raccolto 400TB di informazioni private da parte degli utenti, dice il rapporto.
Wajam è stato intorno dal 2013. In passato, è stato pubblicizzato come un browser di ricerca sociale, add-on che permette agli utenti di trovare le informazioni che è stato cercato in linea o in comune dai loro amici su piattaforme sociali come Twitter e Facebook. Poiché si tratta di un browser plug-in ad-supported, Wajam è noto per visualizzare varie pubblicità che alcuni utenti trovano abbastanza fastidioso. Che trasforma Wajam in un'applicazione potenzialmente indesiderata è il rischio di infezioni varie coinvolti con il pop-up, banner pubblicitari e in-text, che può portare l'utente a pagine web non verificate e non sicuri.
In altre parole, Wajam è stato conosciuto per iniettare gli annunci in traffico del browser, utilizzando tecniche che il malware operatori uso, come ad esempio man-in-the-Browser (Iniezione processo del browser) attacchi visto in operazioni di Zeus. Altri esempi includono anti-analisi e tecniche di evasione, politica di sicurezza declassamento e perdite di dati. Per saperne di più l'indagine Wajam.
Come funziona lo schema pay-per-install? Come sottolineato da Kevin Stevens in un rapporto, Ricercatore di sicurezza presso SecureWorks Counter Threat Unit, il modello di business Pay-Per-Install esiste da molti anni. Quando è iniziato per la prima volta, è stato utilizzato principalmente per distribuire annunci, considerando che oggi viene utilizzato principalmente per fornire minacce spyware e malware.
L'attività viene avviata da un affiliato interessato a creare una rete di computer infetti. Il suddetto affiliato si iscrive quindi a un sito PPI e riceve un file dal provider PPI, che originariamente era una variante di un programma adware. Poi, l'affiliato raggruppa il file fornito da PPI con un altro programma che potrebbe essere ospitato sul proprio sito. Questo è anche noto come programma raccoglitore che può combinare l'adware fornito dal sito PPI con un programma noto. L'obiettivo finale è una vittima che scarica il programma e installa l'adware sul proprio computer. Quando questo accade, detto affiliato è pagato per installazione.
Se avete scaricato il software, soprattutto Gratuito, avete sicuramente sperimentato adware, o l'imprevisto, invadenti pop-up pubblicitari che vengono fuori non invitato sul vostro schermo. PUP sono fastidiosi e questo è un dato di fatto che nessuno può negare, specialmente quando vi è una ricerca specifica per illustrare ulteriormente il danno potenziale di questi programmi. Secondo questa ricerca particolare che stiamo per sommergere, software indesiderato è parte del settore a livello mondiale altamente redditizio, protetta da strati di deniability. Non c'è da stupirsi il business bundle è così tanto successo!
La ricerca di cui stiamo parlando è descritto in un documento, “Indagare commerciale pay-per-Install e la distribuzione di software indesiderato“, ed è svolto da ricercatori provenienti da Google, New York University, Internazionale Computer Science Institute. ricercatori “esplorare l'ecosistema di commerciale pay-per-installazione (PPI) e il ruolo che essa svolge nella proliferazione di software indesiderato“.
Che cos'è il pagamento per installazione commerciale? (PPI)?
Gli sviluppatori di queste famiglie pagano $ 0,10- $ 1,50 per i costi di installazione-in anticipo che recuperano da monetizzare gli utenti senza il loro consenso o facendo pagare costi di abbonamento esorbitanti. Sulla base di Navigazione sicura di Google di telemetria, si stima che le reti PPI auto su 60 milioni di scaricare tenta ogni week-quasi tre volte quella di minacce informatiche. Mentre anti-virus e browser hanno implementato difese per proteggere gli utenti da software indesiderati, troviamo la prova che le reti PPI interferire attivamente con o eludere il rilevamento.
Come potete vedere, c'è un forte legame tra pay-per-install pratiche e la diffusione di applicazioni indesiderate. i ricercatori di Symantec hanno già soprannominato pay-per-installazione “la nuova rete di distribuzione di malware“, insistendo sul fatto che il malware passato prossimo (come vermi) è stato auto-propagando con l'aiuto di vulnerabilità lato server. I risultati della ricerca raffigurano anche i pratiche ingannevoli di alcuni operatori commerciali che PPI attualmente perseverano, e probabilmente continuerà a farlo in futuro.
In seguito l'attenzione attacco si trasferisce a attacchi client-side e le tecniche di social engineering (come phishing). In questi attacchi, è richiesta l'interazione dell'utente - la potenziale vittima ha bisogno di visitare un sito web compromesso, aprire un allegato e-mail, etc. Anche se queste tecniche sicuramente dare risultati, non si propagano malware o software indesiderato in scala ingrandita.
Questo è il modo in cui il modello di distribuzione pay-per-installazione entra nel mercato. Il fatto che si tratta di una zona grigia rende le cose piuttosto complicato da affrontare.
Il modello di distribuzione pay-per-installazione si basa sulla condivisione delle entrate e delle commissioni. Gli autori di malware non hanno le risorse o la larghezza di banda per la diffusione di malware loro su larga scala. Invece si basano su una rete di affiliati, che distribuire il malware, e in cambio ottenere pagato una commissione per ogni installazione. [via rapporto Symantec]
Inutile dire, PPI commerciale è uno schema di monetizzazione molto efficace in cui programmi di terze parti sono in bundle con il software legittimo. Oltre al software l'utente inizialmente voluto installare, egli riceverà anche un bonus - un pezzo di pezzo indesiderato di codice che influiscono sulle prestazioni del suo sistema. Lo scenario peggiore qui è sempre un pezzo di brutto il malware. La migliore delle ipotesi è l'improvvisa comparsa di annunci o avvisi pop-up per quanto riguarda una minaccia rilevata (il noto l'assistenza tecnica, rogue AV e scareware truffe).
Tuttavia, quegli annunci e pop-up possono in seguito link a sito web compromesso caricato con exploit, che di solito termina con la distribuzione ransomware. O le informazioni sensibili possono essere raccolte da utenti, che possono poi essere sfruttate in altri attacchi, o possono essere venduti sul mercato nero. Quindi, qualsiasi ipotesi è già abbastanza grave per voi vuole evitare di usarlo!
Durante la loro ricerca, gli esperti di Google, New York University, e l'Istituto Internazionale di Computer Science focalizzato su quattro affiliati PPI (E il netize, InstallMonetizer, OpenCandy, e Outbrowse) e regolarmente scaricato pacchetti software per varie analisi. Ciò che ha sorpreso di più è stato loro la misura in cui i download sono personalizzati per massimizzare le possibilità di loro carico utile di essere consegnati.
Quali sono i più longeva PPI Campagne?
Iniettori pubblicitarie
Gli iniettori di annunci sono progettati per modificare l'esperienza di navigazione di un utente e sostituire o inserire annunci pubblicitari aggiuntivi che altrimenti non apparirebbero su un sito web. È stato osservato che la maggior parte delle reti PPI partecipa alla distribuzione di ad injector.
Impostazioni del browser hijacker
Queste sono minacce progettate per alterare specificamente le impostazioni del browser in modo da essere persistenti e difficili da rimuovere.
Utilità di sistema
Questi includono approcci scareware progettati per spaventare la vittima e spingerla ad acquistare un prodotto non autorizzato. Questa categoria include varie utilità di accelerazione e prodotti di sicurezza non autorizzati.
Perché l'utente medio dovrebbe preoccuparsi l'industria PPI
Lo sapevate che le reti PPI offrono generalmente agli inserzionisti la possibilità di pre-controllare se un motore antivirus è presente nel sistema prima di mostrare l'offerta dell'inserzionista? Subdolo, destra? Questa pre-controllo si basa su una lista nera di chiavi di Registro, percorsi di file, e archi di registro specificati dalla particolare inserzionista. I ricercatori hanno fatto un elenco di 58 token anti-virus comuni che appaiono in un campione casuale di requisiti pre-check, insieme con i nomi delle aziende AV che partecipano a VirusTotal.
Poi, hanno esplorato tutti i requisiti di installazione offerta per quelle pedine. Che cosa hanno concluso in base alla loro set di dati è che 20% sfruttare le funzionalità di downloader PPI che impediscono le installazioni accada su sistemi dotati di una soluzione AV. Quando un controllo AV è presente, agli inserzionisti di indirizzare una media di 3.6 IL famiglia. Ciò che i ricercatori ritengono che le reti PPI è supportare gli sviluppatori di software indesiderati come partner di business di prima classe.
Che cosa si può fare per neutralizzare i danni dei PPI campagne?
In poche parole, lo studio rivela che le reti di affiliazione PPI sostenere e diffondere software indesiderato, come:
- Ad iniettori
- Impostazioni browser hijacker
- utilità di sistema
Un metodo gli utenti spesso si basano su di ripulire il proprio browser è il Chrome strumento Cleanup. Prima di dover utilizzare tale strumento, si può prendere in considerazione un servizio come Navigazione sicura di Google. Il servizio consente alle applicazioni client controlla gli URL contro gli elenchi aggiornati di frequente di Google di risorse Web non sicuri. (Ulteriori suggerimenti per la sicurezza sono disponibili sotto l'articolo).
Le installazioni indesiderati sono sicuramente più che si possa immaginare - in totale, l'ecosistema PPI ha contribuito a oltre 60 milione settimanali scaricare tentativi. Il successo è in parte dovuto al fatto che le reti PPI commerciali evolvono in conformità con il mercato AV.
Anche se molte soluzioni AV e browser hanno iniziato integrando firme di software indesiderato, le reti continuamente tentano di eludere queste protezioni. Tuttavia, il solo fatto che un inserzionista cesserebbe una installazione quando un AV è presente un sistema dice lunga. Mai sottovalutare il potere del programma antivirus! E mantenere il vostro annuncio-bloccante su!
Ulteriori suggerimenti sulla protezione contro il software indesiderati e malware
- Utilizzare protezione firewall aggiuntiva. Il download di un secondo firewall è una soluzione eccellente per eventuali intrusioni.
- I suoi programmi dovrebbero avere meno potere amministrativo su quello che leggono e scrivere sul vostro computer. Farli spingono l'accesso amministratore prima di iniziare.
- Utilizzare password forti. Password più (preferibilmente quelli che non sono parole) sono più difficili da decifrare da diversi metodi, compresi bruta costringendo poiché include graduatorie con parole importanti.
- Disattivare AutoPlay. Questo protegge il computer da file eseguibili malevoli su chiavette USB o altri vettori di memoria esterne che vengono immediatamente inseriti in esso.
- Disabilita File Sharing - consigliato se avete bisogno di condivisione di file tra il computer di proteggere con password per limitare la minaccia solo per te stesso, se infetti.
- Spegnere tutti i servizi a distanza - questo può essere devastante per le reti aziendali poiché può causare un sacco di danni su larga scala.
- Prendere in considerazione la disattivazione o la rimozione di Adobe Flash Player (a seconda del browser).
- Configurare il server di posta per bloccare ed eliminare file allegati sospetti contenenti messaggi di posta elettronica.
- Non perdere mai un aggiornamento per il sistema operativo e il software.
- Spegnere le porte a infrarossi o Bluetooth.
- Se si dispone di un computer compromesso nella rete, assicurarsi di isolare immediatamente spegnendolo e disconnessione a mano dalla rete.
- Impiegare una potente soluzione anti-malware per proteggersi da eventuali future minacce automaticamente.