La Búsqueda de Google es secuestrada sólo cuando no está siendo observada. Adjuntar un depurador arroja resultados normales

tag-icon tag-icon google-chrome fiddler hijack debugger
La Búsqueda de Google es secuestrada sólo cuando no está siendo observada. Adjuntar un depurador arroja resultados normales

No puedo entender esto. Últimamente noté que los resultados de mi búsqueda eran un poco "diferentes".

  • No he iniciado sesión cuando hago una búsqueda en Google, pero si hago clic en "Imágenes" o "Videos", se me muestra como iniciado.
  • No hay información de Wikipedia en la barra lateral de la página de búsqueda.
  • Si desactivo Ghostery y uBlock, muchos de los resultados son anuncios.

Decidí verificar las herramientas de desarrollo y noté que había un error de sintaxis en la página, hice clic en él y en realidad conduce a una función de JavaScript que reemplaza la dirección web de Google.

El problema parece ocurrir solo en Chrome, aquí hay un lado a lado con Firefox: http://i.imgur.com/7J1G9mR.png

Intenté adjuntar Fiddler Web Debugger para capturar el tráfico y poder ver a dónde me redirigen.Pero tan pronto como adjunto un depurador web, todo desaparece y aparece la página de búsqueda real...La fuente de la página cuando Fiddler captura es completamente diferente.

A continuación se muestra un gifv de captura de pantalla que lo muestra. Comienza con la página secuestrada y hago círculos con el cursor alrededor de algunos archivos fuente de JavaScript adicionales incompletos. Luego le digo a Fiddler que capture el tráfico y actualice mis resultados de búsqueda. La página que me sirve es completamente diferente. Finalmente desactivo la captura de tráfico nuevamente y actualizo la página para mostrar la página secuestrada y llevarlo a la función con el error de sintaxis que se supone reemplaza la dirección web.

http://i.imgur.com/gbWkkLp.gifv

Ejecuté Malwarebytes y no obtuve resultados. A Spybot se le ocurrieron algunos resultados, pero eliminarlos no solucionó el problema. También reinicié Chrome por completo usando la herramienta proporcionada por Google. Si uso un perfil web diferente, como en el que hago mis facturas, no obtengo resultados de búsqueda. Si habilito Fiddler, de repente obtengo resultados. ingrese la descripción de la imagen aquí

Respuesta1

Probablemente algún malware se estaba haciendo pasar porViolinista, como desarrollador original de Fiddler,Eric Lorenzo, señaló:

Varios programas maliciosos comprueban si Fiddler está en uso y, de ser así, dejan de realizar sus actividades maliciosas para intentar ocultar sus acciones.

(fuente)

Fiddler es una herramienta de depuración web. No tiene ningún comportamiento malicioso y nunca se instala a menos que usted lo instale personalmente usando el instalador descargado de Telerik. El escenario descrito aquí es una pieza de malware que intenta evitar la detección haciéndose parecer a Fiddler.

(fuente)

Comportamiento

La señal más clara de malware es que Google Chrome no carga los sitios web HTTPS según lo previsto a menos que esté utilizando Fiddler para capturar el tráfico. Fiddler no está diseñado para interferir con su navegación web normal cuando no está en uso.

Para que el malware se oculte, necesita secuestrar el proxy de Fiddler y renunciar al tráfico HTTPS con la clave privada del certificado de Fiddler. Es trivialcambiar la configuración del proxy, y es posibleobtener una copia de la clave privada de su instalación de Fiddler.

Certificado raíz

Hizo que Fiddler instalara un certificado raíz en su computadora, lo que le permite insertarse como unhombre en el medio(MitM) para monitorear el contenido de los datos que se envían a través de HTTPS:

Captura de pantalla de https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

En cambio, así es comohttps://www.google.com/normalmente se confía en:

Captura de pantalla de la cadena de seguridad HTTPS de Google adecuada

Su computadora confía en el DO_NOT_TRUST_FiddlerRootcertificado porque se instaló en el almacén de confianza de certificados de su sistema operativo.

Proxy para interceptar HTTPS

Indicó que HTTPS se comporta correctamente en Mozilla Firefox, que se puede configurar para usar sus propias reglas de proxy independientes en lugar de las reglas de proxy del sistema operativo. Google Chrome utiliza el proxy del sistema operativo sin una opción sencilla para hacerlo de otra manera.

Al pasar por el proxy a nivel del sistema operativo de Fiddler, Fiddler ahora puede ser el MitM para capturar datos HTTPS sin cifrar mientras sigue brindando servicio al sitio. Fiddler busca una página web y luego la firma como "www.google.com" utilizando el certificado en el que confiaba anteriormente, DO_NOT_TRUST_FiddlerRoot.

En estas circunstancias, el malware puede apoderarse tanto del proxy como del certificado para enviarle al sitio equivocado y al mismo tiempo mostrarle elicono de candado verde. Puedo ver que esto lleva a elaborados ataques de phishing.

Preocupaciones de seguridad

Relacionado en Security Stack Exchange:¿Qué riesgos de seguridad plantean los proveedores de software que implementan servidores proxy de interceptación SSL en los escritorios de los usuarios?

ComoEric Lawrence escribió una vez,

Las capacidades de interceptación HTTPS de Fiddler (con razón) sorprenden a los usuarios preocupados por la seguridad.

Es por eso que Fiddler advierte sobre las implicaciones de seguridad de interceptar el tráfico HTTPS:

Captura de pantalla de una advertencia incorporada de Fiddler

Por error del usuario o instalación de malware, Fiddler se ha asociado con varios problemas:

Aunque Fiddler en sí no es un programa dañino, su mal uso y malentendidos llevaron a errores en el pasado.mala reputacionyvirus que se hacen pasar por Fiddler.

Eliminación

No sé si su computadora ha sido comprometida por algún secuestrador de Fiddler, perotu indicasteque no tiene tiempo para limpiar su computadora y reinstalar, por lo que es de esperar que los siguientes pasos puedan deshacerse de Fiddler y restaurar el comportamiento web seguro adecuado. (Aun así recomendaría reinstalar y cambiar tus contraseñas después, especialmente si te tomas en serio la seguridad. Escribiste que Spybot – Search & Destroy encontró malware).

Prólogo: Desconfigurar Fiddler

El cartel original descubierto.estos pasos adicionalespara resolver su problema con Fiddler:

En última instancia, lo que solucionó fue: Configuración -> Mostrar configuración avanzada -> En red -> Cambiar configuración de proxy -> Avanzado -> Restablecer

y

También en Configuración de Fiddler desactivé las opciones que le permiten descifrar el tráfico HTTPS antes de desinstalar y volver a borrar los certificados.

Eliminar los certificados raíz de Fiddler

  1. Presione Win+r
  2. Abierto:certmgr.msc
  3. Revise todas las carpetas y elimine el DO_NOT_TRUST_FiddlerRootcertificado.

Desinstalar el violinista

  1. Vaya al Panel de control »Programas» Programas y características.
  2. Desinstale el violinista. Una fuentedice que Fiddler puede llamarse "FiddlerRoot" o "BrowserSafeguard".

Borrar configuración de proxy

Suponiendo que normalmente no utilizas un proxy diferente...

  1. Vaya al Panel de control »Opciones de Internet.
  2. En Propiedades de Internet, vaya a la pestaña "Conexiones".
  3. En "Configuración de la red de área local (LAN)", haga clic en "Configuración de LAN".
  4. Borre y desmarque la configuración de su proxy de esta manera:Captura de pantalla de la configuración de la red de área local (LAN)

Eliminar el malware

Comosugerido previamente en Superusuario, debería intentar encontrar y eliminar el malware original que mostraba páginas web HTTPS modificadas.

Consejos detallados:
¿Cómo puedo eliminar spyware, malware, adware, virus, troyanos o rootkits maliciosos de mi PC?

información relacionada