Rimuovi il virus Search Alpha (reindirizzamento di Search Marquis) dal Mac

Scopri come il virus search-alpha.com infetta un Mac, come si manifesta una volta all'interno e quali tecniche sono efficaci per rimuovere questo dirottatore del browser.

Cos'è il virus Search-Alpha per Mac?

Il notoriamente ingegnoso gruppo di cybercriminali che ha ideato il virus di reindirizzamento Search Marquis per Mac alcuni anni fa ha di recente apportato delle modifiche a questa campagna in corso da tempo. I loschi individui sembrano aver passato a utilizzare un nuovo dominio di atterraggio che trascina le vittime in un labirinto di reindirizzamenti del browser. Quello vecchio, searchmarquis.com, sta gradualmente venendo sostituito da search-alpha.com, poiché il numero di segnalazioni da parte degli utenti è aumentato in modo drammatico nelle ultime settimane. Al momento, è difficile dire con certezza le ragioni di questa modifica: potrebbe essere il risultato del fatto che l'URL precedente è stato inserito in una lista nera a causa della sua terribile reputazione, oppure potrebbe essere il risultato di un cambiamento nel funzionamento interno del gruppo criminale. In ogni caso, search-alpha.com sta diventando una minaccia sempre più presente per i proprietari di Mac che non prestano la giusta attenzione ai contenuti che scaricano e che autorizzano inconsapevolmente l'ingresso di questa minaccia.

Oltre al nome di dominio, c'è ben poco che differenzi il sito dubbio dal suo predecessore. È ancora mascherato come una normale homepage di un motore di ricerca, con un design minimalista che comprende solo una barra di ricerca e link a Privacy Policy, EULA e un modulo di contatto. Parlando di questo trio di link, il retaggio di Search Marquis è ancora presente poiché non è stato modificato su nessuna di queste pagine. Ciò suggerisce che l'intera storia potrebbe essere solo un test e che la strategia potrebbe subire ulteriori modifiche. Il virus aggiornato eredita anche le caratteristiche di base di questa campagna. Continua a reindirizzare verso Bing o, in alcuni casi, verso una pagina truffaldina come nearbyme.io. L'obiettivo finale di questa manovra illecita è la monetizzazione del traffico nell'ecosistema macOS, che i cattivi attori sembrano ritenere redditizio per le loro malvagie trame da molto tempo.

Offerta Speciale
Il virus Search-Alpha potrebbe reinserirsi nel tuo Mac più volte a meno che tu non elimini tutti i suoi frammenti, compresi quelli nascosti. Search-Alpha virus di dirottamento può infettare nuovamente il tuo Mac diverse volte a meno che non elimini tutti i suoi frammenti, inclusi quelli nascosti. Perciò, è consigliabile scaricare Combo Cleaner e analizzare il sistema per questi file ostinati. In questo modo, può ridurre il tempo di pulizia da diversi ore a pochi minuti. Scarica ora _{Scopri come funziona Combo Cleaner. Se l’utility rileva un codice malevolo, dovrai acquistare una licenza per potertene sbarazzare.}

I siti su cui le vittime finiscono sono solo la punta dell'iceberg. Lungo il percorso si verificano molte altre cose curiose. Se si osserva più da vicino il processo di reindirizzamento, si scopre che diversi URL fanno parte del piano dei criminali. Ognuno di essi è visibile solo per una frazione di secondo nella barra degli indirizzi o nell'area di stato nella parte inferiore della finestra del browser. La prima stringa è search-location.com, che ho documentato ed analizzato circa sei mesi fa. Sembra essere un sostituto di Search Baron (searchbaron.com), che negli ultimi mesi è diminuito in termini di presenza. Successivamente, il traffico passa rapidamente a api.lisumanagerine.club, un altro componente prolifico della campagna Search Marquis. L'unica cosa che è cambiata riguardo a quest'ultimo è che in alcuni episodi il titolo della scheda mostrerà brevemente una strana combinazione di lettere, ovvero LPF. Al momento, l'implicazione di questa sigla nel contesto di questo attacco specifico è sconosciuta.

Come in passato, l'applicazione malevola che avvia il reindirizzamento di search-alpha.com mostra significative caratteristiche di persistenza. È difficile da rimuovere e le modifiche indesiderate che causa non possono essere ripristinate in modo normale. Le impostazioni errate di ricerca, homepage e nuova scheda possono essere elencate nell'interfaccia di configurazione del browser interessato, ma eliminarle o modificarle è solo una soluzione temporanea. Questo perché uno degli elementi chiave dell'attività del malware è un profilo di configurazione Mac iscritto nelle Preferenze di Sistema senza il permesso e la consapevolezza dell'utente. Normalmente, questa funzionalità benigna è utilizzata dagli amministratori di rete aziendale per imporre le politiche aziendali relative all'uso del software installato sui dispositivi. Tuttavia, i malintenzionati hanno imparato ad abusare di questa funzionalità in modo che le vittime abbiano difficoltà a correggere determinate impostazioni.

Nel caso del virus in questione, il profilo del dispositivo sospetto riguarda principalmente i browser web. Configura Google Chrome, Safari o Mozilla Firefox per risolvere search-alpha.com come la posizione predefinita che viene visitata in determinati eventi (vedi screenshot sopra). Oltre al reindirizzamento del traffico Internet, un importante effetto collaterale di questa anomalia in Chrome, ad esempio, è la notifica "Gestito dalla tua organizzazione" che compare quando si apre il menu a discesa principale. Per mettere in atto questo trucco, il codice dannoso utilizza un particolare comando di terminale nelle prime fasi della contaminazione.

A proposito di ciò, lo scenario tipico per l'infezione di un Mac coinvolge errori umani. Tutto inizia con il download di un'applicazione promossa da un pop-up sospetto o un altro tipo di annuncio su un sito web maligno o compromesso. Il pacchetto di installazione è, infatti, un bundle composto da diversi programmi, di cui quello chiaramente visibile è innocuo. Il problema è che cliccando su OK per l'opzione di installazione "consigliata" o "espressa", verrà installata l'app principale insieme a elementi nascosti, tra cui il virus Search Alpha. Pertanto, il modo più efficace per evitare questa minaccia informatica è evitare di interagire con pacchetti software spinti tramite annunci su siti web casuali. Almeno, è meglio selezionare l'opzione "personalizzata" e deselezionare i componenti sospetti del pacchetto. Se il dirottatore del browser sta già causando problemi sul tuo Mac, prova alcune delle tecniche di rimozione testate e provate di seguito. E ricorda che l'igiene online non riguarda solo la privacy, ma anche la sicurezza dei tuoi dispositivi.

Rimozione manuale del virus search-alpha.com per Mac

I passaggi elencati sotto ti guideranno attraverso il processo di rimozione di questa applicazione nociva. Assicurati di seguire le istruzioni nell’ordine specificato.

1. Espandi il menu Vai sulla barra Finder del tuo Mac e seleziona Utility come mostrato sotto.

   

2. Localizza l’icona Monitoraggio Attività nella schermata Utility e facci doppio clic sopra.

   

3. Nell'applicazione Monitoraggio attività, cerca Search-Alpha o un altro processo che sembri sospetto. Per restringere la ricerca, concentra la tua attenzione su voci sconosciute che richiedono molte risorse nella lista. Ricorda che il nome del processo non è necessariamente correlato al modo in cui la minaccia si manifesta, quindi dovrai fidarti del tuo giudizio. Se riesci a localizzare il colpevole, selezionalo e fai clic sull’icona Esci nell’angolo in alto a sinistra dello schermo.

   

4. Quando compare una finestra di follow-up che chiede se sei sicuro di voler terminare il processo fastidioso, seleziona l’opzione Uscita forzata.

   

5. Fai clic sul menu Vai ancora una volta dal Finder e seleziona Vai alla cartella. Puoi anche usare la scorciatoia da tastiera Command-Shift-G.

   

6. Digita /Libreria/LaunchAgents nella ricerca cartelle e fai clic sul pulsante Vai.
   

   

7. Esamina i contenuti della cartella LaunchAgents alla ricerca di voci dall’aspetto dubbio. Fai attenzione poiché i nomi dei file creati dal malware potrebbero non dare chiari indizi sulle loro intenzioni, quindi dovresti cercare delle voci aggiunte di recente che sembrano deviare dalla norma.

   A scopo illustrativo, ecco diversi esempi di LaunchAgents relativi alle infezioni per Mac più diffuse: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist, e com.systemmond.plist.Se individui dei file che non appartengono alla lista, trascinali nel Cestino.

   

8. Usa la funzionalità di ricerca Vai alla cartella per navigare fino alla cartella di nome ~/Libreria/Application Support (nota il simbolo tilde prima del percorso).
   

   

9. Una volta aperta la directory Application Support, identify identifica le cartelle sospette generate di recente e spediscile nel Cestino. Un consiglio rapido è quello di cercare voci i cui nomi non hanno nulla a che vedere con i prodotti o le applicazioni Apple che sai di aver installato. Alcuni esempi di nomi di cartelle nocive note sono com.AuraSearchDaemon, ProgressSite e IdeaShared.

   

10. Inserisci la stringa ~/Libreria/LaunchAgents (non dimenticare di includere il simbolo tilde) nell’area Vai alla cartella.
    

    

11. Il sistema visualizzerà i LaunchAgents presenti nella directory Home dell'utente corrente. Cerca gli elementi sospetti seguenti correlati al virus di reindirizzamento serach-alpha.com: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist e com.systemmond.plist. Trascina questi file nel Cestino.

    

12. Digita /Libreria/LaunchDaemons nel campo di ricerca Vai alla cartella.
    

    

13. Nel percorso LaunchDaemons cerca di localizzare i file che il malware sta utilizzando per la persistenza. Diversi esempi di queste voci relative alle infezioni Mac sono com.ConnectionCache.system.plist, e com.mulkeyd.plist. Elimina immediatamente i file sospetti.
    

    

14. Clicca sull’icona di menu Vai nel Finder del tuo Mac e seleziona Applicazioni dalla lista.
    

    

15. Trova le voci per una app che chiaramente non appartengono ad essa e spostale nel Cestino. Se è questa azione richiede la password admin per la conferma, inseriscila.

    

16. Espandi il menu Apple e seleziona Preferenze di Sistema.
    

    

    

17. Procedi su Utenti e Gruppi e fai clic sulla scheda Elementi login.
    

    

    Il sistema visualizzerà la lista di oggetti lanciati all’avvio del computer. Localizza la app potenzialmente indesiderata e fai clic sul pulsante “-” (meno).

    

18. Ora seleziona Profili sotto Preferenze di Sistema. Cerca una voce sospetta nella barra laterale di sinistra. Diversi esempi di file di configurazione creati dall’adware Mac includono Chrome Settings, AdminPrefs, MainSearchPlatform, e Safari Preferences. Seleziona le entità criminali e fai clic sul segno meno in fondo per eliminarle.
    

    

    

    Se il tuo Mac è stato colpito da adware, l’infezione con molta probabilità continuerà a prendere il controllo del tuo browser Web di default anche dopo aver rimosso l’applicazione sottostante assieme alle sue componenti sparpagliate in tutto il sistema. Usa le istruzioni di pulizia del browser qui sotto per occuparti delle conseguenze rimanenti di questo attacco.

Sbarazzati di Search-Alpha nel browser Web su Mac

Per iniziare, le impostazioni del browser Web conquistate dal virus Search-Alpha devono essere ripristinate ai loro valori di default. Anche se questo andrà a ripulire la maggior parte delle personalizzazioni, la cronologia di navigazione Web, e tutti i dati temporanei conservati dai siti Web, ma l0interferenza nociva dovrebbe venire parimenti eliminata. La panoramica dei passaggi per completare questa procedura è la seguente:

1. Rimuovere il virus Search-Alpha da Safari
   • Aprire il browser e andare sul menu Safari. Selezionare Preferenze nella lista a tendina.

     

   • Una volta comparsa la schermata Preferenze, fare clic sulla scheda Avanzate e attivare l’opzione che recita “Mostra menu Sviluppo nella barra dei menu”.

     

   • Ora che è stato aggiunta la voce Sviluppo al menu Safari, espanderla e fare clic su Svuota la cache.

     

   • Ora selezionare Cronologia nel menu Safari e fare clic su Cancella cronologia nella lista a tendina.

     

   • Safari visualizzerà una finestra che chiede di specificare il periodo temporale al quale si applicherà questa azione. Selezionare tutta la cronologia per assicurare l’effetto massimo. Cliccare sul pulsante Cancella cronologia per confermare e uscire.

     

   • Tornare sulle Preferenze Safari e fare clic sulla scheda Privacy in alto. Trovare l’opzione che dice Gestisci dati siti web e cliccarci sopra

     

   • Il browser visualizzerà una schermata di follow-up che elenca i siti Web che hanno dei dati conservati sulle tue attività Internet. Questa finestra inoltre include una breve descrizione di ciò che fa la rimozione: potresti aver effettuato l’accesso a qualche servizio e incontrare altre modifiche nel comportamento dei siti Web dopo la procedura. Se ti va bene tutto questo, prosegui e fai clic sul pulsante Rimuovi tutto.

     

   • Riavvia Safari.
2. Rimuovere Search-Alpha da Google Chrome
   • Apri Chrome, clicca sull’icona Personalizza e controllo Google Chrome (⁝) in cima alla parte destra della finestra, e seleziona Impostazioni dal menu a tendina.

     

   • Arrivato sul pannello Impostazioni, seleziona Avanzate.
   • Scorri in basso fino alla sezione Reimposta.

     

   • Conferma il reset di Chrome sulla finestra che apparirà. Una volta completata la procedura, riavvia e browser e controlla possibili attività di malware.

     

3. Rimuovere il virus Search-Alpha da Mozilla Firefox
   • Apri Firefox e vai su Aide – Informations de dépannage (o digita about:support nella barra URL e premi Invio).

     

     

   • Sulla schermata Informations de dépannage screen, fai clic sul pulsante Réparer Firefox.

     

   • Conferma i cambiamenti intesi e riavvia Firefox.

Sbarazzati del virus search-alpha.com utilizzando lo strumento di rimozione Combo Cleaner

L’app di manutenzione e sicurezza per Mac di nome Combo Cleaner è uno strumento unico per rilevare e rimuovere il virus Search-Alpha. Questa tecnica mostra dei benefici sostanziali rispetto alla pulizia manuale, poiché questa utility ricevere aggiornamenti sulle definizioni dei virus con scadenza oraria e può rilevare in maniera precisa anche le fece mi permetto più recenti.

Inoltre, la soluzione automatica troverà i file al nucleo del malware in profondità nella struttura di sistema, cosa che potrebbe altrimenti essere piuttosto difficile da implementare. Ecco una guida per risolvere il problema di Search-Alpha utilizzando Combo Cleaner:

1. Scaricare l’installatore di Combo Cleaner. Una volta fatto, fare doppio clic sul file combocleaner.dmg e seguire le istruzioni per installare lo strumento sullo Mac.

   Download Combo Cleaner

   Scaricando qualsiasi applicazione raccomandata su questo sito Web accetti i nostri Termini e Condizioni e la Politica sulla Privacy. Questo scanner gratuito controlla se il tuo Mac è infettato. Per sbarazzarti del malware, dovrai acquistare la versione Premium di Combo Cleaner.

2. Aprire la app dal Launchpad e lasciare installare gli aggiornamenti del database delle firme malware per accertarsi di identificare le minacce più recenti.
3. Fare clic sul pulsante Avvia Scansione Combo per controllare se il Mac presenta delle attività sospette oltre che dei problemi di performance.

   

4. Esaminare i risultati della scansione. Se il rapporto dice “Nessuna Minaccia”, allora sei sulla strada giusta con la pulizia manuale e puoi procedere in sicurezza per mettere in ordine il browser Web che potrebbe continuare a fare scherzi a causa degli effetti collaterali dell’attacco malware (vedi istruzioni sopra).

   

5. Nel caso in cui Combo Cleaner abbia rilevato del codice maligno, fai clic sul pulsante Rimuovi Oggetti Selezionati e lascia che il programma possa rimuovere la minaccia di Search-Alpha assieme ad altri virus, PUP (programmi potenzialmente indesiderate) o file spazzatura che non appartengono al tuo Mac.

   

6. Una volta accertato che la app nociva è stata disinstallata, potresti ancora dover eseguire la risoluzione problemi a livello browser. Se il tuo browser preferito è influenzato, fai riferimento alla sezione precedente di questo tutorial per ripristinare una navigazione Web senza fastidi.