Malware som retter seg mot nettleseren, er ikke noe nytt. Men skadelig programvare som erstatter en allerede eksisterende nettleser med en som er designet for å spore nettbevegelser, kapre søketrafikk og fylle hver side med uønskede annonser? Ja, det er ganske interessant.
EFast Browser ble oppdaget av MalwareBytes-teamet for noen dager siden, og det gjør alt ovenfor, og mer .
Trekke en eFast One
Kanskje det verste med eFast Browser er at med mindre du er spesielt observant, kan du ikke engang merke det er der, da det tar store smerter å camouflere seg selv.
For det første ser det ut og føles som den bona fide Chrome-nettleseren. Den enkle guiden til Google Chrome. Den enkle guiden til Google Chrome. Denne Chrome brukerhåndboken viser alt du trenger å vite om Google Chrome-nettleseren. Den dekker grunnleggende om bruk av Google Chrome som er viktig for enhver nybegynner. Les mer, som det er bygget på Chrome-nettleseren. Dette er egentlig den helt åpen kildeversjonen av Chrome, med noen proprietære komponenter fjernet.
Utrolig, utviklerne har selv designet logoen til å ligner på det ikoniske Chrome "Spiral".
Forbausende. eFast til og med ripper av Googles logo. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19. oktober 2015
Men atferdsmessig, det ligner veldig på annen skadelig adware. Det starter ved å avinstallere den offisielle versjonen av Chrome. Når du bruker det som en nettleser, vil eFast spore, og sette inn annonser i hver enkelt nettside du besøker. Det vil kapre søketrafikken din, og prøve å lede deg til andre ondsinnede sider.
Det forbinder seg også med et bredt smorgasbord av filformater, kanskje for å få brukerne til å bruke det mer. Disse formatene er:
- gif
- htm
- html
- jpeg
- jpg
- png
- Shtml
- webp
- XHT
- xhtml
Den knytter seg også til følgende URL-foreninger:
- ftp
- http
- https
- irc
- mailto
- mms
- nyheter
- NNTP
- tekstmelding
- SMSTO
- tlf
- urne
- webcal
Motivasjonene bak eFast-nettleseren er selvfølgelig rent økonomisk.
Malware utviklere er overveldende motivert av økonomiske grunner Hva motiverer folk til å hackere datamaskiner? Hint: Penger som motiverer folk til å hakke datamaskiner? Tips: Money Criminals kan bruke teknologi for å tjene penger. Du vet dette. Men du ville bli overrasket over hvor genialt de kan være, fra hacking og videresalg av servere til å omkonfigurere dem som lukrative Bitcoin gruvearbeidere. Les mer, og dette er ikke noe unntak. Faktisk står det å skaffe beslutningstakere en anstendig sum penger, da annonsene deres vises på hvert enkelt nettsted du besøker. Det store potensialet for ulovlig pengeproduksjon er det som driver malwareutviklere for å målrette nettleseren.
Attraktiviteten til nettleseren
Nettleseren har alltid malt et fristende mål for malware-utviklere, bare på grunn av hvordan vi bruker det, og hvor ofte bruker vi det. For mange er deres databehandling basert helt i nettleseren.
I det minste bruker de aller fleste av oss nettleserne til sosiale nettverk, underholdning og shopping. Utover det, bruker mange flere det som for kontorproduktivitet, med produkter som Google Disk har grundig erstattet Microsoft Office, og Gmail har alt annet enn å erstatte Outlook og Exchange.
Fordi nettleseren har en slik anerkjent posisjon, presenterer den en fristende mulighet for utviklere av skadelig programvare. På sitt mest gunstige måte kan de enkelt sette inn uønskede annonser og kapre søketrafikk, men i verste fall kan de stjele passord, legitimasjonsinformasjon og bankinformasjon.
Google, til deres kreditt, har innsett de truslene som stilles til deres egen nettleser og har gjort sitt beste for å gjøre det så trygt som mulig.
Hver Chrome-fan er tett sandkasse, og Google har hatt store smerter for å gjøre det ekstremt vanskelig for stasjon for nedlastinger å finne sted. I mai i år tok Google beslutningen om å forby ikke-nettbutikkutvidelser. Hvis du vil publisere din egen Chrome-utvidelse, må den gå gjennom Google, og deres strenge kodeanalyse.
Som InfoSecTaylorSwift så tydelig påpekt, er Chrome nå så sikker, den eneste måten å angripe nettleseren på, er å erstatte den.
Store rekvisitter til Chrome-teamet at det blir så vanskelig å kapre Chrome som malware bokstavelig talt må _replace it_ for å effektivt angripe.
- SecuriTay (@SwiftOnSecurity) 16. oktober 2015
Hvem er bak den?
Nå vet vi at eFast Browser kommer med en ganske fryktelig oppførsel, og vi vet at den installeres surrepept på folks datamaskiner. Men hvem har faktisk gjort det?
Et godt utgangspunkt er å se på sitt digitale sertifikat. Dette har blitt signert av "CLARALABSOFTWARE", med "clara-labs.com" oppført som tilhørende domenenavn.
Deres valg av navn var absolutt ikke en ulykke. Det ligner ikke bare andre tech-selskaper (som UK ISP Claranet), det høres også ut som et legitimt teknisk selskap ville kalle seg selv.
Jeg spurte da om deres Whois-post. Dette er en offentlig tilgjengelig oversikt over hvem som eier nettstedet, og inneholder deres kontaktinformasjon. Det er imidlertid mulig å "opt-out" av Whois ved å bruke en tredjeparts obfuscation-tjeneste, som WhoisGuard. Ikke overraskende, dette er hva de har gjort her.
Så bestemte jeg meg for å besøke Clara Labs hjemmeside (vi kommer ikke til å koble direkte til det), for å se om jeg kunne finne noen identifiserbar informasjon. Det er verdt å påpeke at når du besøker det med Chrome, advarer Google deg om ikke å fortsette videre, og sier at det er en kjent distributør av skadelig programvare.
Da jeg besøkte, var stedet under stor belastning, takket være trafikken generert av den enorme mediainteressen som den har sett de siste dagene.
Når det endelig lastet, var jeg litt underwhelmed. Det meste av innholdet var den type kjedelige webkopien som er garantert, gjør øynene dine glasur over. Det ble for det meste om å "berikere brukeropplevelsen" gjennom deres "smarte annonserplattform", nesten som om folk burde være takknemlige .
Mer interessant, det kommer med enkle instruksjoner om hvordan du deaktiverer de innebygde annonsene:
Selv om du er i den posisjonen du har installert, ville du være mye bedre å avinstallere den helt.
Det var ikke mye kontaktinformasjon på nettstedet. Det var ikke noe som sa hvem som kjørte det, eller hvilken jurisdiksjon de var basert på. Det var ikke noe kontaktnummer eller postadresse. Det var imidlertid en e-postadresse. Jeg har kommet i kontakt og bedt om en kommentar.
Jeg oppdaterer dette innlegget hvis de svarer, men jeg får ikke håpet mitt.
Bli kvitt eFast Browser
Tror du at du har blitt smittet? Vel, det er en enkel test. Skriv inn "krom: // krom" i adressefeltet. Hvis du ser noe som sier "Om eFast", så har du definitivt blitt smittet.
Hvis det ikke er der, men du ser fortsatt merkelig oppførsel, kan problemet ditt komme fra en annen kilde. Last ned et anti-malware-program, og gjør noen undersøkelser. Vi har også noen generiske råd om hvordan du skal håndtere kappede nettlesere. Hvordan rengjøre en hijacked webleser. Hvordan rengjøre en hijacked webleser. Hva er mer frustrerende enn å starte Firefox bare for å se at hjemmesiden din er endret uten din autorisasjon? Kanskje du har en skinnende ny verktøylinje. Disse tingene er alltid nyttige, ikke sant? Feil. Les mer og spesifikt hvordan du kan avkoble Chrome 3 viktige skritt for å bli kvitt Chrome Hijackers i løpet av få minutter. 3 Viktige skritt for å bli kvitt Chrome Hijackers i minutter Har du noen gang åpnet din nettleser og blitt møtt med en merkelig start side eller en stygge verktøylinje limet til toppen av siden? Gjenopprett nettleseren din til toppform. Les mer .
Hvis du er smittet med eFast, vil du være lurt å laste ned MalwareBytes (som vi først dekket i 2009 Stopp og slett spionprogrammer med Malwarebytes for Windows Stopp og slett spionprogrammer med Malwarebytes for Windows Det kan ikke være så funksjonsbelastet som Spybot Search og ødelegge, som har et latterlig antall verktøy, men det er et veldig lett alternativ med god spionvaredekning. Les mer). Utviklerne av dette var de som oppdaget eFast, og deres anti-virus har de riktige definisjonene for å fjerne det.
Var du smittet av eFast? Kjenner noen som var? Fortell meg om det i kommentarene nedenfor.
Image Credits: Red Devil's hands av Alex Malikov via Shutterstock