Malware som riktar sig till webbläsaren är inget nytt. Men skadlig kod som ersätter en redan befintlig webbläsare med en avsedd att spåra onlinebevakningar, hyacka söktrafik och fylla varje sida med oönskade annonser? Ja, det är ganska intressant.
EFast Browser upptäcktes av MalwareBytes-teamet för några dagar sedan, och det gör allt ovan och mer .
Dra en eFast One
Kanske är det värsta med eFast Browser att om du inte är särskilt uppmärksam, kanske du inte ens märker att den är där, eftersom det tar stora smärtor att camouflera sig själv.
För att börja med ser det ut och känns som den bona fide Chrome-webbläsaren Den enkla guiden till Google Chrome Den enkla guiden till Google Chrome Den här Chrome-användarhandboken visar allt du behöver veta om Google Chrome-webbläsaren. Den täcker grunderna i att använda Google Chrome som är viktigt för alla nybörjare. Läs mer, eftersom det är byggt på Chromium Browser. Detta är i grund och botten helt öppen källkod version av Chrome, med vissa proprietära komponenter borttagna.
Förvånansvärt har utvecklarna även utformat logotypen för att likna den ikoniska Chrome "Spiral".
Förvånande. eFast slår även av Googles logotyp. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19 oktober 2015
Men beteende-klokt, det liknar mycket andra skadliga adware. Det börjar genom att avinstallera den officiella versionen av Chrome. När du använder den som en webbläsare, kommer eFast spåra och infoga annonser i varje enskild webbsida du besöker. Det kapar din söktrafik och försöker rikta dig till andra skadliga sidor.
Det associerar sig också med ett brett smorgasbord av filformat, kanske för att driva användare att använda det mer. Dessa format är:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- webp
- XHT
- xhtml
Den associerar sig också med följande URL-föreningar:
- ftp
- http
- https
- irc
- mailto
- mms
- Nyheter
- nntp
- SMS
- smsto
- tel
- urna
- webcal
Motiveringen bakom eFast-webbläsaren är givetvis rent finansiell.
Malwareutvecklare är överväldigande motiverade av ekonomiska skäl som motiverar människor att hacka datorer? Hint: Pengar som motiverar människor att hacka datorer? Tips: Penningkriminella kan använda teknik för att tjäna pengar. Du vet detta. Men du skulle bli förvånad över hur geniala de kan vara, från att hacka och sälja servrar för att omkonfigurera dem som lukrativa Bitcoin miners. Läs mer, och det här är inget undantag. Det står faktiskt att tjäna skaparna en anständig summa pengar, eftersom deras annonser visas på varje enskild webbplats du besöker. Den stora potentialen för olaglig penningtillverkning är det som driver malwareutvecklare för att rikta in webbläsaren.
Attraktiviteten hos webbläsaren
Webbläsaren har alltid målat ett lockande mål för malwareutvecklare, helt enkelt på grund av hur vi använder det och hur ofta använder vi det. För många är deras datorupplevelse baserad helt i webbläsaren.
I alla fall använder de allra flesta av våra webbläsare för sociala nätverk, underhållning och shopping. Utöver det använder många fler det som för kontorsproduktivitet, med produkter som Google Drive har genomgått grundligt Microsoft Office och Gmail har bara ersatt Outlook och Exchange.
Eftersom webbläsaren har en sådan uppskattad position, presenterar den en lockande möjlighet för malwareutvecklare. De kan på bästa sätt infoga oönskade annonser och kapra söktrafik, men i värsta fall kan de stjäla lösenord, referenser och bankinformation.
Google har till sin kredit insett de hot som ställts till sin egen webbläsare och har gjort sitt bästa för att göra det så säkert som möjligt.
Varje Chrome-flik är tätt sandboxad, och Google har haft stora smärtor för att göra det extremt svårt att köra för nedladdningar. I maj i år fattade Google beslutet om att förbjuda icke-webbshopstillägg. Om du vill publicera din egen Chrome-förlängning måste den gå igenom Google och deras noggranna kodanalys.
Som InfoSecTaylorSwift så tydligt påpekade är Chrome nu så säker, det enda sättet att attackera webbläsaren är att ersätta det.
Stora rekvisita till Chrome-teamet att det blir så svårt att kapabla Chrome som skadlig programvara måste bokföra för att effektivt attackera.
- SecuriTay (@SwiftOnSecurity) 16 oktober 2015
Vem är bakom den?
Nu vet vi att eFast Browser kommer med ett ganska skrämmande beteende, och vi vet att det installeras surrepelt på människors datorer. Men vem har faktiskt gjort det?
En bra utgångspunkt är att titta på sitt digitala certifikat. Detta har tecknats av "CLARALABSOFTWARE", med "clara-labs.com" listat som det associerade domännamnet.
Deras val av namn var absolut inte en olycka. Det liknar inte bara andra teknikföretag (som UK ISP Claranet), det låter också som ett legitimt techföretag skulle kalla sig själva.
Jag frågade sedan deras Whois-rekord. Detta är en offentligt tillgänglig lista över vem som äger webbplatsen och innehåller deras kontaktuppgifter. Det är dock möjligt att "välja bort" av Whois genom att använda en tredjeparts obfuscationstjänst, som WhoisGuard. Inte överraskande, det här är vad de har gjort här.
Så bestämde jag mig för att besöka Clara Labs hemsida (vi kommer inte att länka till det direkt), för att se om jag kunde hitta någon identifierbar information. Det är värt att påpeka att när du besöker det med Chrome, varnar Google dig om att inte fortsätta vidare och säger att det är en känd distributör av skadlig kod.
När jag besökte, var platsen mycket belastad tack vare den trafik som genereras av den enorma medieintressen som den har sett under de senaste dagarna.
När det äntligen laddades, var jag lite underwhelmed. Det mesta av innehållet var den typ av tråkiga webbkopia som garanteras gör dina ögon glaserade över. Det berodde mest på att "berika användarupplevelsen" genom sin "smarta annonsplattform", nästan som om människor skulle vara tacksamma .
Intressantare, det kommer med enkla instruktioner om hur du inaktiverar de inbyggda annonserna:
Även om du är i den positionen där du har installerat den, skulle du vara mycket bättre att avinstallera den helt.
Det fanns inte mycket kontaktinformation på webbplatsen. Det var inte något som sa vem som körde det, eller vilken jurisdiktion de var baserade i. Det fanns inget kontaktnummer eller postadress. Det var dock en e-postadress. Jag har kontaktat mig och bad om en kommentar.
Jag uppdaterar det här inlägget om de svarar, men jag hoppas inte upp.
Bli av med eFast Browser
Tycker du att du har smittats? Tja, det är ett enkelt test. Skriv "chrome: // chrome" i adressfältet. Om du ser något som säger "Om eFast", så har du definitivt blivit smittade.
Om det inte finns där, men du fortfarande ser konstigt beteende, kan ditt problem komma från en annan källa. Ladda ner ett anti-malware-program och gör en undersökning. Vi har också några generiska råd om hur man hanterar kapslade webbläsare Hur man rengör en kapad webbläsare Hur man rengör en kapad webbläsare Vad är mer frustrerande än att bara starta Firefox för att se att din hemsida har ändrats utan din auktorisation? Kanske har du även en glänsande ny verktygsfält. Dessa saker är alltid användbara, eller hur? Fel. Läs mer och specifikt hur man kan avlägsna Chrome 3 viktiga steg för att bli av med Chrome-kapare i minuter. 3 Viktiga steg för att bli av med Chrome-kapare på några minuter Har du någonsin öppnat din webbläsare och valts med en bizarre start sida eller en ojämn verktygsfält limmad överst på sidan? Återställ webbläsaren till toppform. Läs mer .
Om du är smittad med eFast, skulle du vara klok att ladda ner MalwareBytes (som vi först täckte 2009 Stoppa och ta bort spionprogram med Malwarebytes för Windows Stoppa och ta bort spionprogram med Malwarebytes för Windows Det kan inte vara så funktionellt laddat som Spybot Search och Destroy, vilket har ett löjligt antal verktyg, men det är ett mycket lätt alternativ med bra spionprogram. Läs mer). Utvecklarna av detta var de som upptäckte eFast, och deras antivirusprogram har de korrekta definitionerna för att ta bort det.
Var du smittade av eFast? Vet någon som var? Berätta om det i kommentarerna nedan.
Bildkrediter: Röda Djävulens händer av Alex Malikov via Shutterstock