Trong số tất cả các dạng phần mềm độc hại nhắm mục tiêu vào máy Mac, kẻ xâm nhập trình duyệt có lẽ là một trong những phần mềm độc hại khó chịu nhất. Khi thiết bị của bạn bị nhiễm virus, các tùy chọn duyệt web của bạn đột nhiên vượt khỏi tầm kiểm soát của bạn, có nghĩa là buộc phải chuyển tiếp lưu lượng truy cập của bạn đến các trang web không mong muốn và độc hại. Mặc dù loại tấn công này không thể được coi là nghiêm trọng, nhưng nó vẫn gây khó chịu, đặc biệt là khi bạn phải đối phó với những quảng cáo không đóng cửa. Vì vậy, nếu một kẻ xâm nhập trình duyệt bằng cách nào đó xâm nhập vào hệ thống của bạn, thì máy Mac của bạn sẽ yêu cầu dọn dẹp toàn diện.
Một trong những kẻ xâm nhập trình duyệt gần đây nhất đang khủng bố người dùng Mac là Search Baron hoặc Searchbaron.com. Kẻ xâm nhập trình duyệt này đã xâm nhập vào một số máy tính Mac trong vài tuần qua và gây ra một số hỗn loạn lớn trong ngành bảo mật. Phần mềm độc hại tự biểu hiện bằng cách chiếm quyền kiểm soát cài đặt internet mặc định của trình duyệt để phân phối lại lưu lượng truy cập web của người dùng. Khi người dùng bị ảnh hưởng cố gắng truy cập một trang web, trình duyệt chuyển hướng đến Searchbaron.com sẽ không hiển thị và người dùng chỉ thấy lưu lượng truy cập được chuyển hướng đến bing.com.
Searchbaron.com là gì?
Searchbaron.com là một trang web độc hại được cho là cải thiện trải nghiệm duyệt web của người dùng bằng cách tạo ra kết quả tìm kiếm tốt hơn. Trang web này thường được quảng bá bởi các ứng dụng giả mạo khác nhau và các chương trình không mong muốn có thể lây nhiễm vào máy tính mà nạn nhân không hề hay biết.
Searchbaron.com thường được phân phối thông qua quảng cáo bật lên lừa đảo, trình cài đặt trình phát flash giả mạo, tải xuống tệp torrent và trình cài đặt phần mềm miễn phí (gói). Một trong những ứng dụng hợp pháp mà Searchbaron.com đính kèm là Spaces, một chương trình cho phép người dùng kết nối với đồng nghiệp và mạng lưới với các chuyên gia.
Tuy nhiên, không giống như hầu hết những kẻ xâm nhập trình duyệt, Searchbaron.com không sửa đổi cài đặt trình duyệt. Phần mềm độc hại phát hiện bất cứ khi nào người dùng nhập một truy vấn tìm kiếm và sau đó chuyển hướng lưu lượng truy cập đến searchbaron.com, sau đó bắt đầu một chuỗi chuyển hướng khác đến bing.com thông qua dịch vụ Amazon AWS. Cuối cùng, người dùng kết thúc việc tìm kiếm thông qua Bing mặc dù nó không phải là công cụ tìm kiếm mặc định. Các chuyển hướng như thế này không đặc biệt có hại vì Bing cũng là một công cụ tìm kiếm hợp pháp. Tuy nhiên, chúng có thể ảnh hưởng đáng kể đến trải nghiệm duyệt web của người dùng.
Bạn cũng cần lưu ý rằng các chương trình không mong muốn tiềm ẩn (PUP) và các công cụ tìm kiếm giả mạo được thiết kế để thu thập thông tin nhạy cảm từ người dùng, bao gồm địa chỉ IP, lịch sử duyệt web, các trang web đã xem, truy vấn tìm kiếm và các chi tiết dường như không quan trọng khác. Thông tin thu thập được sau đó được chia sẻ hoặc bán cho các bên thứ ba để tạo ra doanh thu. Điều này không chỉ khiến các quảng cáo khó chịu hơn xuất hiện trên máy Mac của bạn mà còn có thể dẫn đến các vấn đề nghiêm trọng về quyền riêng tư hoặc thậm chí là đánh cắp danh tính.
Trên hết, quá trình xóa chuyển hướng Searchbaron.com trên trình duyệt của bạn có thể khá phức tạp vì phần mềm độc hại sẽ tiếp tục quay trở lại nếu tất cả các thành phần không được xóa hoàn toàn. Bạn cần phải loại bỏ hoàn toàn Searchbaron.com để ngăn ngừa tái nhiễm.
Searchbaron.com được phân phối như thế nào?
Phần mềm chiếm quyền điều khiển trình duyệt thường xâm nhập vào máy tính mà người dùng không hề hay biết, vì các tác giả hoặc tội phạm mạng phân phối chúng qua quảng cáo xâm nhập hoặc thông qua một phương thức tiếp thị lừa đảo được gọi là gói. Về cơ bản, quảng cáo xâm nhập sẽ chuyển hướng người dùng đến các trang web đáng ngờ, nơi một số thậm chí chạy tập lệnh để tải xuống hoặc cài đặt các ứng dụng không mong muốn.
Mặt khác, gói là cài đặt ẩn các ứng dụng của bên thứ ba cùng với một phần mềm hợp pháp. Các nhà phát triển hiểu rằng hầu hết người dùng thường vội vàng trong quá trình cài đặt, không đọc hướng dẫn và bỏ qua các bước. Do đó, các ứng dụng đi kèm thường bị ẩn sau các tùy chọn Tùy chỉnh / Nâng cao của quá trình cài đặt.
Cũng có người dùng vì thích xem quảng cáo mà bỏ qua một số bước cài đặt mà không nhận ra rằng mình đang vô tình cài đặt ứng dụng giả mạo. Bằng cách làm này, người dùng khiến hệ thống của họ gặp nguy hiểm từ nhiều phần mềm độc hại khác nhau và xâm phạm quyền riêng tư dữ liệu của họ.
Searchbaron.com hoạt động như thế nào?
Lúc đầu, ý tưởng đằng sau cuộc tấn công chiếm quyền điều khiển trình duyệt này không có nhiều ý nghĩa. Khi bạn nghĩ về nó, tại sao phải đại tu cài đặt trình duyệt của máy Mac, sau đó đưa chúng đến Bing, một công cụ tìm kiếm đích thực? Tuy nhiên, lôgic đằng sau chiến dịch này tinh tế hơn những gì nó xuất hiện. Bất cứ khi nào chuyển hướng xảy ra, nó sẽ đi theo một đường dẫn phức tạp liên quan đến giữa các miền, bao gồm searchnewworld.com đã biết độc hại hoặc các trang web khác được lưu trữ trên nền tảng AWS (Amazon Web Services). Searchroute-1560352588.us-west-2.elb.amazonaws.com là một trong những trang được lưu trữ trên AWS đã được một số người dùng Mac báo cáo.
Việc sử dụng các mạng đám mây hợp pháp để lưu trữ các tài nguyên web đáng ngờ khiến tội phạm mạng dễ dàng trốn tránh danh sách đen hơn. Bạn sẽ nhận thấy rằng các trang web này không được hiển thị đáng chú ý trong trình duyệt, nhưng thực sự được truy cập như một phần của quá trình định tuyến lại. Phần mềm độc hại do đó thúc đẩy lưu lượng truy cập đến các trang web cụ thể trong khi làm cho nó có vẻ như trang web được giải quyết duy nhất là Bing.com. Thủ thuật này không phải là bất cứ điều gì mới, nhưng nó là một cách hiệu quả để chặn lưu lượng truy cập cho mục đích kiếm tiền.
Kẻ xâm nhập trình duyệt Search Baron rất khó hiểu đến nỗi người dùng không nhận ra một điều kỳ lạ nào khác của phần mềm độc hại này. Khi chạy trên macOS, Search baron cũng giám sát các hoạt động trực tuyến của nạn nhân. Nó âm thầm giữ một tab về những trang web được truy cập và những truy vấn tìm kiếm được nhập vào. Trên hết, Searchbaron.com có thể nhắm mục tiêu các thông tin đăng nhập nhạy cảm, bao gồm chi tiết ngân hàng trực tuyến, thông tin đăng nhập email và các dịch vụ đám mây. Bằng cách thu thập tất cả các chi tiết này, tác giả đằng sau Search Baron có thể tạo ra một hồ sơ hoàn chỉnh của nạn nhân không nghi ngờ và sử dụng thông tin này để thực hiện các âm mưu đánh cắp danh tính và lừa đảo. Cũng có nhiều khả năng dữ liệu sẽ được bán cho các bên thứ ba, chẳng hạn như nhà tiếp thị, nhà quảng cáo hoặc các nhóm hack nổi tiếng khác.
Khi Search Baron xâm nhập vào máy Mac của bạn, nó sẽ tự thêm vào các mục đăng nhập để duy trì hoạt động. Nó cũng thay đổi cài đặt của trình duyệt web ưa thích của người dùng, đặt công cụ tìm kiếm và trang chủ mặc định thành searchbaron.com. Nếu bạn đủ quan tâm, bạn sẽ nhận thấy rằng URL có một cái đuôi chứa nhiều quảng cáo độc hại. Ví dụ:chuỗi có thể là một cái gì đó giống như searchbaron.com/v1/hostedsearch hoặc https://www.searchbaron.com/v1/hostedsearch?pid=252428&subid965&keyword={searchTerms}.
Điều khó chịu là bạn không thể hoàn nguyên các thay đổi đã thực hiện cho Safari, Chrome hoặc Firefox, bất kể bạn cố gắng chọn các dịch vụ phù hợp theo cách thủ công bao nhiêu lần. Điều này là do phần mềm độc hại đã cài đặt plugin độc hại để làm cho các trình duyệt đó thay đổi nhiều lần. Search Baron cũng thêm một hồ sơ quản trị mới trong Tùy chọn hệ thống. Cấu hình mới này ngăn quá trình dọn dẹp hoàn tất và phần mềm độc hại tiếp tục quay trở lại. Để Xóa hoàn toàn chuyển hướng Searchbaron.com trên trình duyệt, bạn cần phải loại bỏ vi rút Search Baron thích hợp, cùng với các thành phần của nó dành cho việc nâng cấp đặc quyền. Sau khi những thay đổi này đã được xóa, bạn có thể hoàn nguyên các thay đổi đã thực hiện cho trình duyệt web bị ảnh hưởng.
Cách xóa Searchbaron.com
Như đã đề cập trước đó, Searchbaron.com cài đặt các thành phần vào hệ thống của bạn khiến bạn khó bị loại bỏ. Để đảm bảo rằng nó đã được xóa hoàn toàn khỏi macOS, bạn cần làm theo hướng dẫn xóa từng bước của chúng tôi (chèn hướng dẫn xóa tại đây).
Sau khi Searchbaron.com đã bị xóa, hãy thực hành các thói quen bảo mật trực tuyến tốt để ngăn phần mềm độc hại này và các loại khác của nó xâm nhập lại máy tính của bạn. Đảm bảo rằng bạn cài đặt một chương trình chống phần mềm độc hại tốt và luôn cập nhật hệ thống của bạn để giảm thiểu các lỗ hổng bảo mật. Bạn cũng nên lên lịch bảo trì máy Mac thường xuyên bằng ứng dụng dọn dẹp máy Mac đáng tin cậy. Luôn cảnh giác với các ứng dụng bạn tải xuống và các liên kết bạn nhấp vào trên internet.