Skip to main content

Rimuovi il virus Search Alpha (reindirizzamento di Search Marquis) dal Mac

Scopri come il virus search-alpha.com infetta un Mac, come si manifesta una volta all'interno e quali tecniche sono efficaci per rimuovere questo dirottatore del browser.

Profilo della minaccia
Nome Search-Alpha (search-alpha.com) browser hijacker
Categoria Adware per Mac, redirect virus, PUA (Potentially Unwanted Application)
Indirizzo IP 18.66.147.101
Domini correlati search-alpha.com, searchmarquis.com, search-location.com, api.lisumanagerine.club, m.nearbyme.io, search1.me, chillsearch.xyz
Sintomi Reindirizzamenti del browser web a Bing tramite search-alpha.com, aggiunta di contenuti sponsorizzati ai risultati di ricerca, rallentamento del sistema, resistenza alla rimozione tradizionale
Tecniche di distribuzione Popup falsi di aggiornamento di Adobe Flash Player, bundle di software contenenti malware, spam
Livello di gravità Medio
Danni Modifiche indesiderate delle preferenze del browser, problemi di privacy dovuti al tracciamento dell'attività su Internet, reindirizzamenti delle ricerche, annunci pubblicitari sopra la piega
Rimozione Esegui una scansione del tuo Mac con Combo Cleaner per individuare tutti i file correlati al dirottatore del browser. Utilizza lo strumento per rimuovere l'infezione, se trovata.

Cos'è il virus Search-Alpha per Mac?

Il notoriamente ingegnoso gruppo di cybercriminali che ha ideato il virus di reindirizzamento Search Marquis per Mac alcuni anni fa ha di recente apportato delle modifiche a questa campagna in corso da tempo. I loschi individui sembrano aver passato a utilizzare un nuovo dominio di atterraggio che trascina le vittime in un labirinto di reindirizzamenti del browser. Quello vecchio, searchmarquis.com, sta gradualmente venendo sostituito da search-alpha.com, poiché il numero di segnalazioni da parte degli utenti è aumentato in modo drammatico nelle ultime settimane. Al momento, è difficile dire con certezza le ragioni di questa modifica: potrebbe essere il risultato del fatto che l'URL precedente è stato inserito in una lista nera a causa della sua terribile reputazione, oppure potrebbe essere il risultato di un cambiamento nel funzionamento interno del gruppo criminale. In ogni caso, search-alpha.com sta diventando una minaccia sempre più presente per i proprietari di Mac che non prestano la giusta attenzione ai contenuti che scaricano e che autorizzano inconsapevolmente l'ingresso di questa minaccia.

Search-alpha.com è un sito simile a Search Marquis che altera i browser web allo stesso modo

Oltre al nome di dominio, c'è ben poco che differenzi il sito dubbio dal suo predecessore. È ancora mascherato come una normale homepage di un motore di ricerca, con un design minimalista che comprende solo una barra di ricerca e link a Privacy Policy, EULA e un modulo di contatto. Parlando di questo trio di link, il retaggio di Search Marquis è ancora presente poiché non è stato modificato su nessuna di queste pagine. Ciò suggerisce che l'intera storia potrebbe essere solo un test e che la strategia potrebbe subire ulteriori modifiche. Il virus aggiornato eredita anche le caratteristiche di base di questa campagna. Continua a reindirizzare verso Bing o, in alcuni casi, verso una pagina truffaldina come nearbyme.io. L'obiettivo finale di questa manovra illecita è la monetizzazione del traffico nell'ecosistema macOS, che i cattivi attori sembrano ritenere redditizio per le loro malvagie trame da molto tempo.

Il reindirizzamento di Search-Alpha porta a Bing

I siti su cui le vittime finiscono sono solo la punta dell'iceberg. Lungo il percorso si verificano molte altre cose curiose. Se si osserva più da vicino il processo di reindirizzamento, si scopre che diversi URL fanno parte del piano dei criminali. Ognuno di essi è visibile solo per una frazione di secondo nella barra degli indirizzi o nell'area di stato nella parte inferiore della finestra del browser. La prima stringa è search-location.com, che ho documentato ed analizzato circa sei mesi fa. Sembra essere un sostituto di Search Baron (searchbaron.com), che negli ultimi mesi è diminuito in termini di presenza. Successivamente, il traffico passa rapidamente a api.lisumanagerine.club, un altro componente prolifico della campagna Search Marquis. L'unica cosa che è cambiata riguardo a quest'ultimo è che in alcuni episodi il titolo della scheda mostrerà brevemente una strana combinazione di lettere, ovvero LPF. Al momento, l'implicazione di questa sigla nel contesto di questo attacco specifico è sconosciuta.

Il processo di reindirizzamento coinvolge diversi URL secondari

Come in passato, l'applicazione malevola che avvia il reindirizzamento di search-alpha.com mostra significative caratteristiche di persistenza. È difficile da rimuovere e le modifiche indesiderate che causa non possono essere ripristinate in modo normale. Le impostazioni errate di ricerca, homepage e nuova scheda possono essere elencate nell'interfaccia di configurazione del browser interessato, ma eliminarle o modificarle è solo una soluzione temporanea. Questo perché uno degli elementi chiave dell'attività del malware è un profilo di configurazione Mac iscritto nelle Preferenze di Sistema senza il permesso e la consapevolezza dell'utente. Normalmente, questa funzionalità benigna è utilizzata dagli amministratori di rete aziendale per imporre le politiche aziendali relative all'uso del software installato sui dispositivi. Tuttavia, i malintenzionati hanno imparato ad abusare di questa funzionalità in modo che le vittime abbiano difficoltà a correggere determinate impostazioni.

Profilo di configurazione Mac aggiunto dal virus search-alpha.com

Nel caso del virus in questione, il profilo del dispositivo sospetto riguarda principalmente i browser web. Configura Google Chrome, Safari o Mozilla Firefox per risolvere search-alpha.com come la posizione predefinita che viene visitata in determinati eventi (vedi screenshot sopra). Oltre al reindirizzamento del traffico Internet, un importante effetto collaterale di questa anomalia in Chrome, ad esempio, è la notifica "Gestito dalla tua organizzazione" che compare quando si apre il menu a discesa principale. Per mettere in atto questo trucco, il codice dannoso utilizza un particolare comando di terminale nelle prime fasi della contaminazione.

A proposito di ciò, lo scenario tipico per l'infezione di un Mac coinvolge errori umani. Tutto inizia con il download di un'applicazione promossa da un pop-up sospetto o un altro tipo di annuncio su un sito web maligno o compromesso. Il pacchetto di installazione è, infatti, un bundle composto da diversi programmi, di cui quello chiaramente visibile è innocuo. Il problema è che cliccando su OK per l'opzione di installazione "consigliata" o "espressa", verrà installata l'app principale insieme a elementi nascosti, tra cui il virus Search Alpha. Pertanto, il modo più efficace per evitare questa minaccia informatica è evitare di interagire con pacchetti software spinti tramite annunci su siti web casuali. Almeno, è meglio selezionare l'opzione "personalizzata" e deselezionare i componenti sospetti del pacchetto. Se il dirottatore del browser sta già causando problemi sul tuo Mac, prova alcune delle tecniche di rimozione testate e provate di seguito. E ricorda che l'igiene online non riguarda solo la privacy, ma anche la sicurezza dei tuoi dispositivi.

Rimozione manuale del virus search-alpha.com per Mac

I passaggi elencati sotto ti guideranno attraverso il processo di rimozione di questa applicazione nociva. Assicurati di seguire le istruzioni nell’ordine specificato.

  1. Espandi il menu Vai sulla barra Finder del tuo Mac e seleziona Utility come mostrato sotto.

    Vai su Utility

  2. Localizza l’icona Monitoraggio Attività nella schermata Utility e facci doppio clic sopra.

    Seleziona Monitoraggio Attività

  3. Nell'applicazione Monitoraggio attività, cerca Search-Alpha o un altro processo che sembri sospetto. Per restringere la ricerca, concentra la tua attenzione su voci sconosciute che richiedono molte risorse nella lista. Ricorda che il nome del processo non è necessariamente correlato al modo in cui la minaccia si manifesta, quindi dovrai fidarti del tuo giudizio. Se riesci a localizzare il colpevole, selezionalo e fai clic sull’icona Esci nell’angolo in alto a sinistra dello schermo.

    Interrompi il processo nocivo

  4. Quando compare una finestra di follow-up che chiede se sei sicuro di voler terminare il processo fastidioso, seleziona l’opzione Uscita forzata.

    Seleziona l’opzione Uscita forzata.

  5. Fai clic sul menu Vai ancora una volta dal Finder e seleziona Vai alla cartella. Puoi anche usare la scorciatoia da tastiera Command-Shift-G.

    Usa la funzione Vai alla cartella

  6. Digita /Libreria/LaunchAgents nella ricerca cartelle e fai clic sul pulsante Vai.

    Apri la cartella /Libreria/LaunchAgents

  7. Esamina i contenuti della cartella LaunchAgents alla ricerca di voci dall’aspetto dubbio. Fai attenzione poiché i nomi dei file creati dal malware potrebbero non dare chiari indizi sulle loro intenzioni, quindi dovresti cercare delle voci aggiunte di recente che sembrano deviare dalla norma.

    A scopo illustrativo, ecco diversi esempi di LaunchAgents relativi alle infezioni per Mac più diffuse: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist, e com.systemmond.plist.Se individui dei file che non appartengono alla lista, trascinali nel Cestino.

    Contenuti cartella Root-level LaunchAgents

  8. Usa la funzionalità di ricerca Vai alla cartella per navigare fino alla cartella di nome ~/Libreria/Application Support (nota il simbolo tilde prima del percorso).

    Apri la cartella ~/Libreria/Application Support

  9. Una volta aperta la directory Application Support, identify identifica le cartelle sospette generate di recente e spediscile nel Cestino. Un consiglio rapido è quello di cercare voci i cui nomi non hanno nulla a che vedere con i prodotti o le applicazioni Apple che sai di aver installato. Alcuni esempi di nomi di cartelle nocive note sono com.AuraSearchDaemonProgressSite e IdeaShared.

    Contenuti cartella Application Support

  10. Inserisci la stringa ~/Libreria/LaunchAgents (non dimenticare di includere il simbolo tilde) nell’area Vai alla cartella.

    Vai alla directory ~/Libreria/LaunchAgents

  11. Il sistema visualizzerà i LaunchAgents presenti nella directory Home dell'utente corrente. Cerca gli elementi sospetti seguenti correlati al virus di reindirizzamento serach-alpha.com: com.AnyBizSoftPDFtoExcel.plist, com.fsefosian.eftsime.plist, com.readerupdate.plist e com.systemmond.plist. Trascina questi file nel Cestino.

    Contenuti della cartella LaunchAgents nella directory Home dell’utente

  12. Digita /Libreria/LaunchDaemons nel campo di ricerca Vai alla cartella.

    Vai su /Libreria/LaunchDaemons

  13. Nel percorso LaunchDaemons cerca di localizzare i file che il malware sta utilizzando per la persistenza. Diversi esempi di queste voci relative alle infezioni Mac sono com.ConnectionCache.system.plist, e com.mulkeyd.plist. Elimina immediatamente i file sospetti.

    Contenuti cartella LaunchDaemons

  14. Clicca sull’icona di menu Vai nel Finder del tuo Mac e seleziona Applicazioni dalla lista.

    Vai sulla schermata Applicazioni su Mac

  15. Trova le voci per una app che chiaramente non appartengono ad essa e spostale nel Cestino. Se è questa azione richiede la password admin per la conferma, inseriscila.

    Trascina le app nocive nell’Cestino

  16. Espandi il menu Apple e seleziona Preferenze di Sistema.

    Seleziona Preferenze di Sistema

    Apri Preferenze di Sistema

  17. Procedi su Utenti e Gruppi e fai clic sulla scheda Elementi login.

    Procedi su Utenti e Gruppi

    Il sistema visualizzerà la lista di oggetti lanciati all’avvio del computer. Localizza la app potenzialmente indesiderata e fai clic sul pulsante “-” (meno).

    Elimina il login elementi indesiderato

  18. Ora seleziona Profili sotto Preferenze di Sistema. Cerca una voce sospetta nella barra laterale di sinistra. Diversi esempi di file di configurazione creati dall’adware Mac includono Chrome Settings, AdminPrefs, MainSearchPlatform, e Safari Preferences. Seleziona le entità criminali e fai clic sul segno meno in fondo per eliminarle.

    Seleziona Profili sotto Preferenze di Sistema

    Rimuovi il profilo di configurazione nocivo da Mac

    Se il tuo Mac è stato colpito da adware, l’infezione con molta probabilità continuerà a prendere il controllo del tuo browser Web di default anche dopo aver rimosso l’applicazione sottostante assieme alle sue componenti sparpagliate in tutto il sistema. Usa le istruzioni di pulizia del browser qui sotto per occuparti delle conseguenze rimanenti di questo attacco.

Sbarazzati di Search-Alpha nel browser Web su Mac

Per iniziare, le impostazioni del browser Web conquistate dal virus Search-Alpha devono essere ripristinate ai loro valori di default. Anche se questo andrà a ripulire la maggior parte delle personalizzazioni, la cronologia di navigazione Web, e tutti i dati temporanei conservati dai siti Web, ma l0interferenza nociva dovrebbe venire parimenti eliminata. La panoramica dei passaggi per completare questa procedura è la seguente:

  1. Rimuovere il virus Search-Alpha da Safari
    • Aprire il browser e andare sul menu Safari. Selezionare Preferenze nella lista a tendina.

      Go to Preferenze in Safari

    • Una volta comparsa la schermata Preferenze, fare clic sulla scheda Avanzate e attivare l’opzione che recita “Mostra menu Sviluppo nella barra dei menu”.

      Avanzate tab under Safari Preferenze

    • Ora che è stato aggiunta la voce Sviluppo al menu Safari, espanderla e fare clic su Svuota la cache.

      Svuotare Cache su Safari

    • Ora selezionare Cronologia nel menu Safari e fare clic su Cancella cronologia nella lista a tendina.

      Cancella cronologia in Safari

    • Safari visualizzerà una finestra che chiede di specificare il periodo temporale al quale si applicherà questa azione. Selezionare tutta la cronologia per assicurare l’effetto massimo. Cliccare sul pulsante Cancella cronologia per confermare e uscire.

      Seleziona tutta la cronologia per la polizia

    • Tornare sulle Preferenze Safari e fare clic sulla scheda Privacy in alto. Trovare l’opzione che dice Gestisci dati siti web e cliccarci sopra

      Gestisci dati siti web sotto la scheda Privacy

    • Il browser visualizzerà una schermata di follow-up che elenca i siti Web che hanno dei dati conservati sulle tue attività Internet. Questa finestra inoltre include una breve descrizione di ciò che fa la rimozione: potresti aver effettuato l’accesso a qualche servizio e incontrare altre modifiche nel comportamento dei siti Web dopo la procedura. Se ti va bene tutto questo, prosegui e fai clic sul pulsante Rimuovi tutto.

      Finestra di conferma

    • Riavvia Safari.
  2. Rimuovere Search-Alpha da Google Chrome
    • Apri Chrome, clicca sull’icona Personalizza e controllo Google Chrome (⁝) in cima alla parte destra della finestra, e seleziona Impostazioni dal menu a tendina.

      Seleziona Impostazioni dal menu a tendina

    • Arrivato sul pannello Impostazioni, seleziona Avanzate.
    • Scorri in basso fino alla sezione Reimposta.

      Scorri in basso fino alla sezione Reimposta

    • Conferma il reset di Chrome sulla finestra che apparirà. Una volta completata la procedura, riavvia e browser e controlla possibili attività di malware.

      Ecco come resettare le impostazioni di Chrome su Mac

  3. Rimuovere il virus Search-Alpha da Mozilla Firefox
    • Apri Firefox e vai su Aide – Informations de dépannage (o digita about:support nella barra URL e premi Invio).

      Apri Firefox e vai su Aide

      Apri Firefox e vai su Aide – Informations de dépannage

    • Sulla schermata Informations de dépannage screen, fai clic sul pulsante Réparer Firefox.

      Riparare Firefox su Mac

    • Conferma i cambiamenti intesi e riavvia Firefox.

Sbarazzati del virus search-alpha.com utilizzando lo strumento di rimozione Combo Cleaner

L’app di manutenzione e sicurezza per Mac di nome Combo Cleaner è uno strumento unico per rilevare e rimuovere il virus Search-Alpha. Questa tecnica mostra dei benefici sostanziali rispetto alla pulizia manuale, poiché questa utility ricevere aggiornamenti sulle definizioni dei virus con scadenza oraria e può rilevare in maniera precisa anche le fece mi permetto più recenti.

Inoltre, la soluzione automatica troverà i file al nucleo del malware in profondità nella struttura di sistema, cosa che potrebbe altrimenti essere piuttosto difficile da implementare. Ecco una guida per risolvere il problema di Search-Alpha utilizzando Combo Cleaner:

  1. Scaricare l’installatore di Combo Cleaner. Una volta fatto, fare doppio clic sul file combocleaner.dmg e seguire le istruzioni per installare lo strumento sullo Mac.

    Download Combo Cleaner

    Scaricando qualsiasi applicazione raccomandata su questo sito Web accetti i nostri Termini e Condizioni e la Politica sulla Privacy. Questo scanner gratuito controlla se il tuo Mac è infettato. Per sbarazzarti del malware, dovrai acquistare la versione Premium di Combo Cleaner.

  2. Aprire la app dal Launchpad e lasciare installare gli aggiornamenti del database delle firme malware per accertarsi di identificare le minacce più recenti.
  3. Fare clic sul pulsante Avvia Scansione Combo per controllare se il Mac presenta delle attività sospette oltre che dei problemi di performance.

    Combo Cleaner Mac scan progress

  4. Esaminare i risultati della scansione. Se il rapporto dice “Nessuna Minaccia”, allora sei sulla strada giusta con la pulizia manuale e puoi procedere in sicurezza per mettere in ordine il browser Web che potrebbe continuare a fare scherzi a causa degli effetti collaterali dell’attacco malware (vedi istruzioni sopra).

    Combo Cleaner scan report – no threats found

  5. Nel caso in cui Combo Cleaner abbia rilevato del codice maligno, fai clic sul pulsante Rimuovi Oggetti Selezionati e lascia che il programma possa rimuovere la minaccia di Search-Alpha assieme ad altri virus, PUP (programmi potenzialmente indesiderate) o file spazzatura che non appartengono al tuo Mac.

    Combo Cleaner – threats found

  6. Una volta accertato che la app nociva è stata disinstallata, potresti ancora dover eseguire la risoluzione problemi a livello browser. Se il tuo browser preferito è influenzato, fai riferimento alla sezione precedente di questo tutorial per ripristinare una navigazione Web senza fastidi.
25

Was this article helpful? Please, rate this.

There are no comments yet.
Authentication required

You must log in to post a comment.

Log in