o vírus Search Baron Mac é um inconveniente que prejudica a experiência de navegação da vítima ao redirecionar o tráfego para o Bing, como tal teve ser prontamente removido.
Atualizar: novembro 2024
Threat Profile | |
---|---|
Nome | Search Baron (SearchBaron.com) sequestrador de browser |
Categoria | Sequestrador de browser, vírus de redirecionamento, adware para Mac |
IP | 151.139.128.10, 13.32.255.71, 204.11.56.48 |
Domínios Relacionados | searchmarquis.com, hut.brdtxhea.xyz, mybrowser-search.com |
Deteção | Avast: MacOS:MaxOfferDeal-I [Adw], BitDefender: Adware.MAC.Genieo.WS, ESET: A Variant Of OSX/Adware.MaxOfferDeal.N, McAfee: RDN/Generic.osx, Microsoft: Trojan:Win32/Bitrep.A, Sophos: Generic PUA PB (PUA), Symantec: OSX.Trojan.Gen |
Sintomas | Redireciona o web browser para SearchBaron.com e Bing.com, adiciona conteúdo patrocinado aos resultados de pesquisa, torna o sistema mais lento |
Distribuição | Pacotes de software gratuito, torrents, atualizações de software armadilhadas, anúncios pop-up enganadores, spam |
Nível de Gravidade | Médio |
Danos | Alterações indesejadas às definições de navegação personalizadas, problemas de privacidade devidos a tracking da atividade na Internet, redirecionamento de pesquisas, anúncios redundantes |
Remoção | Analise o seu Mac com o Combo Cleaner para detetar todos os ficheiros relacionados com o sequestro do browser. Utilize esta ferramenta para remover a infeção detetada. |
De todas as formas de atividade maliciosa que afetam os Macs, um sequestro do browser é uma das ocorrências mais incómodas. Faz com que as preferências de navegação saiam subitamente do controlo do utilizador, o que origina o encaminhamento forçado do tráfego para sites indesejados. Embora este tipo de ataque não esteja categorizado como severo, é extremamente irritante e requer uma limpeza exaustiva. Poucas infeções deste tipo atingem o grau de distribuição que o recentemente descoberto vírus Search Baron exibe. Infiltrou numerosos computadores Mac ao longo dos últimos dias, causando grande agitação nos círculos da segurança. A praga manifesta-se quando se apodera das definições personalizadas de navegação na Internet de modo a redistribuir o tráfego web da vítima. Quando o utilizador afetado tenta visitar um site aleatório, a infeção começa por encaminhá-lo para searchbaron.com, e redireciona-o então para bing.com.
À primeira vista, a lógica deste ataque não parece fazer muito sentido. Porquê reformular as preferências de navegação do utilizador apenas para o levar até ao Bing, um motor de busca legítimo? Porém, a motivação dos operadores desta campanha obscura é mais subtil do que parece. Cada vez que o redirecionamento acontece, este segue um caminho complexo envolvendo domínios intermediários, tais como o site reconhecidamente malicioso searchnewworld.com ou páginas alojadas na plataforma AWS (Amazon Web Services). Um exemplo frequentemente reportado deste último caso é searchroute-1560352588.us-west-2.elb.amazonaws.com. A propósito, a utilização de redes fidedignas na cloud para alojar recursos web duvidosos é uma forma de os cibercriminosos se evadirem a serem incluídos em "listas negras". Estes sites não são apresentados explicitamente no browser mas, tecnicamente, são visitados como parte do reencaminhamento.
Uma consequência adicional da onda de sequestros pelo Search Baron é que novos domínios maliciosos são adicionados às suas páginas de destino a jusante. Um dos exemplos em circulação ativa é o URL hut.brdtxhea.xyz. Especificamente, a string completa é hut.brdtxhea.xyz/api/rolbng/ffind. Outra mudança ocorrida quase um ano após a explosão inicial da campanha foi que a gama de entidades envolvidas na promoção cruzada foi complementada com mybrowser-search.com. Este é um serviço fraudulento que se baseia nos resultados de pesquisa personalizados externalizados para outro motor de busca sem fornecer ele próprio nenhum valor. Os arquitetos deste abrangente esquema construiram uma complexa rede de recursos duvidosos que continua em expansão. Os malfeitores estão, portanto, a dirigir o tráfego para páginas específicas, fazendo parecer que o único site apresentado é o bing.com. O truque não é novo, mas continua a alimentar o modelo de negócio dúbio baseado na interceção de tráfego para efeitos de monetização.
O sequestro do browser pelo Search Baron é tão irritante que acaba por encobrir outra particularidade da aplicação maliciosa subjacente. Quando se encontra ativo num Mac, o vírus acompanha também as atividades online da vítima. Ele monitoriza silenciosamente que sites são visitados e que palavras chave de pesquisa são introduzidas. Para além disso, a infeção pode focar-se em credenciais sensíveis que o utilizador introduz para fazer log-in nas suas contas web pessoais, incluindo serviços de e-banking, e-mail e cloud. Ao compilar todos estes detalhes, os cibercriminosos por detrás do Search Baron podem criar um perfil prolixo do alvo inocente e abusar desta informação para levar a cabo roubo de identidade e estratagemas de phishing de aparência confiável. Com toda a probabilidade, estes dados serão vendidos a outros agentes ameaçadores, como publicitários desonestos ou importantes grupos de hackers.
A porta de entrada comum para a incursão do vírus Search Baron é o bundling. Trata-se de um esquema fraudulento existente há muito que leva as pessoas a instalarem programas maliciosos. Algumas aplicações apelativas, geralmente gratuitas, promovidas em diversos portais de software não certificado, estão no centro deste esquema, levando os utilizadores a pensar que têm sorte por conseguirem uma ferramenta tão sofisticada a custo zero. Porém, o cliente que realiza a instalação pode afinal ter itens extra escondidos, embora normalmente não haja referências a este facto. Como consequência, a potencial presa vai em frente, clicando em janela após janela do assistente de instalação, apenas para instalar adicionalmente a aplicação potencialmente indesejada. Os utilizadores de Mac deveriam aprender finalmente a lição: não escolham o modo predefinido quando instalam software gratuito e verifiquem se existem objetos complementares indesejados. Ler as letras pequeninas pode, por vezes, fazer-nos mesmo ganhar o dia.
Quando ativo no interior de um Mac, o vírus Search Baron adiciona-se ao separador Início de sessão de modo a persistir no sistema. Altera também as definições do browser preferencial do administrador, fazendo com que o motor de busca e a página inicial predefinidos revertam para searchbaron.com. Acontece que o URL tem uma sequência final que identifica uma sub-campanha específica de publicidade maliciosa. Por exemplo, a string pode ser algo como searchbaron/v1/hostedsearch. As definições perniciosamente alteradas no Safari, Chrome ou Firefox irão fazer efeito de cada vez que a vítima tentar selecionar manualmente os serviços corretos, devido à existência de um plug-in malicioso configurado para efetuar repetidamente as alterações indesejadas. Como elemento adicional de persistência, a infeção adiciona um novo perfil de administrador listado sob Preferências do Sistema. Esta entidade duvidosa dificulta o processo de limpeza ao forçar comportamentos específicos do browser afetado, que incluem as suas predefinições. Isto significa que a reparação se prende com a remoção do vírus Search Baron propriamente dito, incluindo os seus componentes com efeitos de escalada de privilégios (acesso a recursos protegidos do sistema) e obstinação no Mac, e posteriormente com o reajustamento do web browser afetado. As instruções passo-a-passo abaixo abrangem o que é necessário fazer.
Remoção manual do vírus Search Baron para Mac
Estes passos vão ensinar-lhe a remover aplicação maliciosa. Não se esqueça de seguir as instruções pela ordem apresentada.
- Expanda o menu Ir na barra Finder do eu Mac e selecione Utilitários como mostrado abaixo.
- Localize o ícone Monitor de Atividade no ecrã Utilitários e clique duas vezes neste.
- Na app Monitor de Atividade, procure um processo aparentemente suspeito. Para restringir a sua pesquisa, foque-se nas entradas de recursos que não lhe são familiares na lista. Lembre-se que o nome não está necessariamente relacionado com a forma como a ameaça se manifesta, terá de confiar no seu julgamento. Se localizar o culpado, selecione-o e clique no ícone Terminar no canto superior esquerdo do ecrã.
- Quando depois surgir uma caixa, a perguntar-lhe se tem a certeza de que quer abandonar o processo de resolução de problemas, escolha a opção Forçar terminação.
- Clique outra vez no ícone do menu Ir no Finder e escolha Ir para a pasta. Pode também utilizar o atalho de teclado Command-Shift-G.
- Escreva /Biblioteca/LaunchAgents na caixa de pesquisa de pastas e clique no botão Ir.
- Examine o conteúdo da pasta LaunchAgents à procura de itens duvidosos. Lembre-se que os nomes dos ficheiros gerados por malware podem não dar pistas nítidas de que são maliciosos, deve então procurar entidades recentemente adicionadas que pareçam suspeitas.
Damos-lhe vários exemplos de LaunchAgents relacionados com típicas infeções Mac: com.pcv.hlpramc.plist, com.updater.mcy.plist, com.avickUpd.plist, e com.msp.agent.plist. Se encontrar ficheiros que não pertencem à lista, avance e arraste-os para o Lixo.
- Utilize novamente a funcionalidade de pesquisa Ir para a pasta a fim de navegar até à pasta denominada ~/Biblioteca/Application Support (tenha em atenção o til que precedente a expreão).
- Quando a pasta Application Support for aberta, identifique as pastas suspeitas geradas recentemente dentro dela e envie-as para o Lixo. Uma dica rápida é procurar itens cujos nomes não estão em nada relacionados com produtos ou aplicações Apple que instalou de forma consciente. Alguns exemplos de nomes de pastas maliciosas conhecidas são UtilityParze, ProgressSite, e IdeaShared
- Insira ~/Biblioteca/LaunchAgents string (não se esqueça de incluir o til) na área de pesquisa Ir para a pasta.
- O sistema mostrará a LaunchAgents no diretório Home do utilizador atual. Procure itens duvidosos relacionados com o vírus Search Baron (ver lógica destacada nas subseções acima) e arraste os suspeitos para o Lixo.
- Digite /Biblioteca/LaunchDaemons no campo de pesquisa Ir para a pasta.
- No caminho LaunchDaemons, tente localizar os ficheiros que o malware está a usar persistentemente. Vários exemplos dos itens utilizado por infeções no Mac são com.pplauncher.plist, com.startup.plist, e com.ExpertModuleSearchDaemon.plist. Elimine imediatamente os ficheiros duvidosos.
- Clique no ícone do menu Ir no Finder do seu Mac e selecione Aplicações na lista.
- Encontre a entrada de uma app que claramente destoe do resto e mande-a para o Lixo. Se esta ação exigir a sua password de administrador, introduza-a.
- Expanda o menu Apple e selecione Preferências do Sistema.
- Avance para Utilizadores & Grupos e clique no separador Início de sessão. O sistema mostrará a lista de itens abertos quando o computador arranca. Localize a app potencialmente indesejada e clique no botão “-“ (menos).
- Agora escolha Perfis em Preferências do Sistema. Procure por um item malicioso na barra lateral esquerda. Vários exemplos de perfis de configuração criados pelo adware Mac incluem TechSignalSearch, MainSearchPlatform, AdminPrefs, e Chrome Settings. Escolha a entidade infratora e clique no sinal menos na parte inferior para eliminá-la.
Se o seu Mac tiver sido infiltrado por adware, a infecção provavelmente continua a dominar o seu navegador web padrão, mesmo após remover a aplicação subjacente, juntamente com os seus componentes espalhados pelo sistema. Utilize as instruções de limpeza do navegador abaixo para extirpar as restantes consequências do ataque.
Acabe com o Search Baron no browser no Mac
Como ponto inicial, as definições do navegador web estabelecidas pelo vírus Search Baron devem ser restauradas para os seus valores padrão. Apesar de isto eliminar a maioria das suas definições pessoais, o histórico de navegação web e todos os dados temporários armazenados pelos websites, também essa interferência prejudicial deverá ser expurgada. Eis os passos para concluir o procedimento:
- Remover o vírus Search Baron do Safari
- Abra o navegador e dirija-se ao menu Safari. Escolha Preferências no menu suspensa.
- Quando surgir o menu Preferências, clique no separador Avançadas e ative a opção “Mostrar menu Programação na barra de menus”.
- Agora que a entrada Programação foi adicionada ao menu do Safari, aumente-a e clique em Esvaziar caches.
- Agora selecione Histórico no menu do Safari e clique em Limpar histórico na lista suspensa.
- O Safari mostrará uma caixa que lhe pede para especificar o período de tempo a que esta ação se aplicará. Selecione todo o histórico para garantir um efeito máximo. Clique no botão Limpar histórico para confirmar e sair.
- Regresse às Preferências do Safari e clique no separador Privacidade no topo. Encontre a opção que diz Gerir dados dos sites e clique nela.
- O navegador mostrará de seguida um ecrã com uma lista dos websites com dados armazenados sobre as suas atividades na internet. Esta caixa tem também uma breve descrição do que faz a remoção: pode ser que saia de alguns serviços e encontre outras alterações no comportamento do website após o procedimento. Se estiver de acordo com isso, clique no botão Remover todos.
- Reiniciar Safari.
- Remover Search Baron do Google Chrome
- Abra o Chrome, clique no ícone Personalizar e controlar o Google Chrome (⁝) na parte superior direita da janela e selecione Definições no menu suspenso.
- No painel das definições, seleccione Avançadas.
- Navegue para baixo até à secção Repor definições.
- Confirme a restauração do Chrome na caixa de diálogo seguinte. Quando o procedimento estiver concluído, reabra o browser e verifique se o malware ainda está em atividade.
- Remover o vírus Search Baron do Mozilla Firefox
- Abra o Firefox e siga até Ajuda – Informação para resolução de problemas (ou escreva about:support na barra do URL e toque em Enter).
- No ecrã da Informação para a Resolução de Problemas, clique em Restaurar o Firefox.
- Confirme as alterações pretendidas e reinicie o Firefox.
Eliminar o vírus Search Baron com a ferramenta de remoção automática Combo Cleaner
A aplicação de manutenção e segurança Mac conhecida como Combo Cleaner é uma ferramenta completa que permite detetar e remover o vírus Search Baron Esta técnica tem vantagens em relação à limpeza manual, já que o utilitário é atualizado todas as horas no que diz respeito aos vírus e consegue detectar com precisão até as mais recentes infeções Mac.
A solução automática também encontrar os arquivos centrais do malware na estrutura do sistema, que podem representar um grande desafio para outras soluções. Abaixo encontra um guia passo-a-passo para resolver o problema do Search Baron com Combo Cleaner:
- Faça o download do instalador Combo Cleaner. Quando terminar, clique duas vezes no ficheiro combocleaner.dmg e siga as instruções para instalar a ferramenta no seu Mac.
Ao fazer o download de qualquer aplicação recomendado neste site, está a concordar com os nossos Termos e Condições e Política de Privacidade. O scanner gratuito verifica se o seu Mac está infetado. Para eliminar o malware, precisa de comprar a versão Premium do Combo Cleaner.
- Abra a aplicação no seu Launchpad e deixe-a executar a atualização da base de dados de assinaturas de malware para que possa identificar as ameaças mais recentes.
- Clique no botão Iniciar Scan do Combo para verificar se o seu Mac tem actividade maliciosa e problemas de desempenho.
- Analise os resultados do scan. Se o relatório disser “Sem Ameaças”, pode fazer a limpeza manual e avançar com segurança para organizar o navegador web, que poderá continuar a ser afetado pelos efeitos secundários do ataque de malware (consulte as instruções acima).
- Se o Combo Cleaner detetar código malicioso, clique no botão Remover Itens Selecionados e peça ao utilitário para remover a ameaça Search Baron juntamente com quaisquer outros vírus, PUPs (programas potencialmente indesejados) ou ficheiros inúteis que não pertençam ao seu Mac.
- Quando tiver certeza absoluta de que a aplicação maliciosa está desinstalada, a resolução de problemas do navegador poderá ainda estar na sua lista de tarefas. Se o seu navegador preferido for afetado, volte à seção anterior deste tutorial para reverter para uma navegação web sem problemas.
Perguntas frequentes
O pré-requisito fundamental para parar os redirecionamentos do Search Baron num web browser é eliminar a aplicação maliciosa que origina este tipo de atividade. De outra forma, mesmo que faça uma limpeza exaustiva ao Safari, Chrome ou Firefox (dependendo de qual deles esteja afetado), o sequestro continuará a acontecer porque o adware ainda está presente, desencadeando os seus comandos dúbios de modo a reinstalar o plugin não autorizado no browser.
Uma vez que esta infeção é predefinida para gorar tentativas de desinstalação comuns, a primeira coisa a fazer é extinguir este processo no Monitor de Atividade. Este não se manifesta necessariamente como Search Baron propriamente dito, portanto deverá procurar um executável suspeito acompanhado de uma ID de utilizador desconhecida. Além disso, alto consumo da CPU é um sinal de alerta comum.
Uma vez forçada a terminação do processo nocivo, vá até à pasta Aplicações e localize aí o Search Baron (ou SearchBaron). Envie-o para o Lixo sem pensar duas vezes. Então, aceda ao seu ecrã Início de Sessão sob Preferências do Sistema e elimine a entrada não autorizada de modo a prevenir que seja inicializada durante o arranque.
Agora que removeu o adware, prossiga para a correção do browser mal comportado. A abordagem mais fiável é restaurar as definições de fábrica (ver instruções no guia acima). A desvantagem desta técnica é que terá de empreender posteriormente um processo algo entediante de personalização do browser. Para se poupar ao trabalho de aplicar todas as definições personalizadas do zero depois do restauro, considere desativar primeiramente a extensão Search Baron e verificar se isto resolve o problema. Se assim for, está feito. Se os redirecionamentos continuam a acontecer, o restauro é a sua única opção.
Depende do tipo de malware que infetou o seu MacBook. Nos casos de adware, como o ataque do Search Baron, combinar a desinstalação forçada da aplicação prejudicial com o restauro do browser afetado será suficiente. Tenha em mente que, ao contrário do software comum, estas PUAs (aplicações potencialmente indesejadas) tendem a ser resistentes e, como tal, removê-las da pasta Aplicações pode não ser suficiente.
Para contornar esta persistência, terminar o processo indesejado no Monitor de Atividade deve ser o seu primeiro passo. Apague, então, a entrada perniciosa de Aplicações e de Início de sessão. Por fim, elimine a respetiva extensão do browser. No entanto, em muitos casos isto é inútil e será necessário restaurar o browser às definições originais.
Por vezes, deverá também examinar os seguintes diretórios em busca de ficheiros de malware ocultos: /Biblioteca/LaunchAgents, ~/Biblioteca/LaunchAgents, /Biblioteca/LaunchDaemons, e /Biblioteca/Application Support. Os objetos maliciosos serão algo como com.MCP.agent.plist ou similar, sendo o nome da infeção (ou o seu acrónimo) parte da entrada. Este passo extra é frequentemente necessário em situações em que um programa de scareware afeta um computador, mostrando alertas falsos para convencer o utilizador a comprar uma licença. Se tem experienciado sintomas de malware no seu MacBook mas não consegue localizar todos os componentes do programa agressor, poderá ser uma boa ideia utilizar uma ferramenta de segurança de confiança que irá automaticamente identificar e desalojar a ameaça.
De modo a reparar o browser Safari afetado pelo vírus Search Baron, tente, primeiro que tudo, localizar e eliminar a extensão associada. Clique no ícone menu do Safari e selecione 'Preferências' no menu suspenso. Selecione o separador 'Extensões' no ecrã resultante e localize um objeto auxiliar não autorizado chamado Search Baron. Atenção, o nome poderá ser diferente, portanto deverá procurar qualquer item que não se lembre de ter adicionado ao Safari. Um vez encontrado, vá em frente e remova o culpado. Reinicie o browser e verifique se tem sintomas de sequestro.
Se redirecionamentos para searchbaron.com, e depois para bing.com, continuam a ocorrer, deve então redobrar os seus esforços e restaurar as definições do browser. Seguem-se as instruções passo a passo que deve seguir:
- Vá às 'Preferências' do Safari e selecione o separador 'Avançadas'. Ative a opção seguinte: 'Mostrar menu Programação na barra de menus'
- Um novo item designado 'Programação' surgirá na barra de menus do Safari. Clique sobre ele e selecione 'Esvaziar caches'
- Verifique se o problema causado pelo Search Baron se encontra resolvido. Caso contrário, vá ao Histórico na barra de menus do Safari e clique em 'Limpar histórico'
- Selecione 'todo o histórico' na caixa de diálogo que surge em seguida e clique em 'Limpar Histórico' novamente
- Se o problema persistir, vá às 'Preferências' uma vez mais e clique no separador 'Privacidade'. Avance para uma opção que diz 'Gerir dados dos sites'. Clique em 'Remover Todos' e depois no botão 'Feito'
- Reinicie o Safari.
Tenha em atenção que os últimos passos apenas resolverão o problema do ataque sequestrador do Search Baron se tiver removido a aplicação potencialmente indesejada anteriormente. Veja o tutorial acima assim como as respostas anteriores para tomar conhecimento dos procedimentos relevantes.
Se o Google Chrome encaminha repetidamente o seu tráfego para SearchBaron.com, isto significa que uma extensão duvidosa foi adicionada clandestinamente ao browser. Assim sendo, a lógica da reparação será localizar e eliminar esta entidade. Antes de continuar, assegure-se que aborda a origem do sequestro, removendo o adware propriamente dito do seu Mac, caso contrário a extensão perpetradora voltará a ser reinstalada pouco tempo depois.
Para solucionar o problema no Chrome, tente primeiramente eliminar a extensão do SearchBaron. O procedimento é o seguinte:
- Clique no ícone 'Personalizar e controlar o Google Chrome' (⁝) e selecione 'Mais ferramentas' - 'Extensões'
- No ecrã 'Extensões', procure por SearchBaron ou outra entrada de aparência duvidosa que não pertença ali
- Desative-a e clique em 'Remover'
- Reinicie o Chrome.
Verifique se o problema de redirecionamento se encontra resolvido. Se não for o caso, terá que restaurar o Chrome às definições de origem. Isto eliminará as suas definições personalizadas mas, comparado com a loucura do SearchBaron, é o menor de dois males. Siga os passos seguintes para o fazer:
- Clique no ícone 'Personalizar e controlar o Google Chrome' (⁝) e selecione 'Definições'
- Escolha a opção 'Avançadas' e localize a subsecção 'Repor definições'
- Selecione 'Repor as predefinições originais das definições'
- Na caixa de diálogo que irá surgir, clique no botão 'Repor definições'
- Reinicie o seu browser Chrome. O problema não deverá voltar a fazer-se sentir.