Malware, der er målrettet til browseren, er ikke noget nyt. Men malware, der erstatter en allerede eksisterende browser med en designet til at spore online bevægelser, kapre søgetrafik, og udfylde hver side med uønskede annoncer? Ja, det er ret interessant.
EFast Browser blev opdaget af MalwareBytes holdet for et par dage siden, og det gør alle ovenstående og mere .
Træk en eFast One
Måske er det værste ved eFast Browser, at medmindre du er særlig opmærksom, kan du ikke engang mærke det er der, da det kræver store smerter at camouflere sig selv.
Til at begynde med ser det ud og føles som den bona fide Chrome-browser. Den nemme vejledning til Google Chrome Den nemme vejledning til Google Chrome Denne Chrome brugervejledning viser alt, hvad du behøver at vide om Google Chrome-browseren. Det dækker det grundlæggende ved at bruge Google Chrome, der er vigtigt for enhver nybegynder. Læs mere, da det er bygget på Chrom Browser. Dette er hovedsagelig den helt åbne kildeversion af Chrome, med nogle proprietære komponenter fjernet.
Forbløffende har udviklerne selv designet logoet til at ligner den ikoniske Chrome "Spiral".
Forbavsende. eFast endda ripper off Googles logo. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@ Matthewhughes) 19. oktober 2015
Men adfærdsmæssigt er det meget lig med andre ondsindede adware. Det starter ved at afinstallere den officielle version af Chrome. Når du bruger det som en browser, sporer eFast og indsætter annoncer i hver enkelt webside, du besøger. Det vil kapre din søgetrafik, og forsøge at lede dig til andre ondsindede sider.
Det forbinder sig også med et bredt smorgasbord af filformater, måske for at drive brugere til at bruge det mere. Disse formater er:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- WebP
- XHT
- xhtml
Det forbinder sig også med følgende URL-foreninger:
- ftp
- http
- https
- irc
- mailto
- mms
- nyheder
- NNTP
- sms
- smsto
- tel
- urne
- webcal
Motiveringen bag eFast-browseren er naturligvis rent økonomisk.
Malware-udviklere er overvældende motiveret af økonomiske grunde, der motiverer folk til at hakke computere? Tip: Penge, der motiverer folk til at hakke computere? Tip: Pengeforbrydere kan bruge teknologi til at tjene penge. Du ved det. Men du ville blive overrasket over, hvor genialt de kan være, fra hacking og videresælge servere til at omkonfigurere dem som lukrative Bitcoin minearbejdere. Læs mere, og det er ingen undtagelse. Faktisk står det for at tjene beslutningstagerne en anstændig sum penge, da deres annoncer vises på hvert enkelt websted, du besøger. Det store potentiale for ulovlig pengeudvikling er, hvad der driver malware-udviklere til at målrette mod browseren.
Tiltrækningen af browseren
Browseren har altid malet et tiltrækkende mål for malware-udviklere, simpelthen på grund af, hvordan vi bruger det, og hvor ofte bruger vi det. For mange er deres databehandling baseret helt i browseren.
I det mindste bruger langt de fleste af os vores webbrowsere til sociale netværk, underholdning og shopping. Derudover bruger mange flere det som for kontorproduktivitet, hvor produkter som Google Drive har grundigt erstattet Microsoft Office, og Gmail har alt andet end erstattet Outlook og Exchange.
Fordi browseren har en sådan anerkendt position, giver den en tiltrækkende mulighed for malware-udviklere. På deres mest gunstige måde kan de blot indsætte uønskede annoncer og kapre søgetrafik, men i værste fald kan de stjæle adgangskoder, legitimationsoplysninger og bankoplysninger.
Google har til deres kredit indset de trusler, der er stillet til deres egen browser og har gjort deres bedste for at gøre det så sikkert som muligt.
Hver Chrome-faneblad er tæt sandboxet, og Google har haft store smerter for at gøre det ekstremt svært at drive-by-downloads finder sted. I maj i år traf Google beslutningen om at forbyde udvidelser uden for webshop. Hvis du vil offentliggøre din egen Chrome-udvidelse, skal den gå gennem Google og deres strenge kodeanalyse.
Som InfoSecTaylorSwift så markant påpeget, er Chrome nu så sikkert, den eneste måde at angribe browseren på, er at erstatte den.
Store rekvisitter til Chrome-teamet, at det bliver så svært at kapre Chrome, at malware bogstaveligt talt skal _replace it_ for effektivt at angribe.
- SecuriTay (@SwiftOnSecurity) 16. oktober 2015
Hvem er bag den?
Ved nu ved vi, at eFast Browser kommer med en ret skræmmende opførsel, og vi ved, at den installeres surrepent på folks computere. Men hvem har faktisk gjort det?
Et godt udgangspunkt er at se på sit digitale certifikat. Dette er blevet underskrevet af "CLARALABSOFTWARE", med "clara-labs.com" angivet som det tilhørende domænenavn.
Deres valg af navn var næsten helt sikkert ikke en ulykke. Det ligner ikke kun andre techvirksomheder (som UK ISP Claranet), det lyder også som et legitimt tech firma ville kalde sig selv.
Jeg spurgte derefter deres Whois-rekord. Dette er en offentligt tilgængelig oversigt over, hvem der ejer webstedet og indeholder deres kontaktoplysninger. Det er dog muligt at "opt-out" af Whois ved at bruge en tredjeparts obfuscation service, som WhoisGuard. Det er overraskende, det er det, de har gjort her.
Så jeg besluttede at besøge Clara Labs hjemmeside (vi vil ikke linke direkte til det) for at se, om jeg kunne finde nogen identificerbare oplysninger. Det er værd at påpege, at når du besøger det med Chrome, advarer Google dig om ikke at fortsætte yderligere og siger, at det er en kendt distributør af malware.
Da jeg besøgte, var stedet under stor belastning takket være den trafik, der genereres af den enorme medieinteresse, som den er set i de seneste dage.
Da det endelig blev lastet, var jeg lidt undervældet. Det meste af indholdet var den type kedelige webkopi, der er garanteret, gør dine øjne glaseret over. Det skete hovedsagelig om "berigelse af brugeroplevelsen" gennem deres "smart ads platform", næsten som om folk skulle være taknemmelige .
Mere interessant, det kommer med enkle instruktioner om, hvordan du deaktiverer de indbyggede annoncer:
Selvom du er i den position, hvor du har installeret det, ville du være meget bedre at afinstallere det helt.
Der var ikke meget kontaktoplysninger på webstedet. Der var ikke noget der sagde hvem der kørte det, eller hvilken jurisdiktion de var baseret på. Der var ikke noget kontaktnummer eller postadresse. Der var dog en e-mail-adresse. Jeg har haft kontakt og bedt om en kommentar.
Jeg opdaterer dette indlæg, hvis de svarer, men jeg får ikke mit håb.
At slippe af med eFast Browser
Tror du, du er blevet smittet? Nå er der en simpel test. Skriv "chrome: // chrome" i adresselinjen. Hvis du ser noget, der siger "Om eFast", så er du helt sikkert blevet smittet.
Hvis det ikke er der, men du stadig ser underlig opførsel, kan dit problem komme fra en anden kilde. Download et anti-malware-program, og foretag en undersøgelse. Vi har også nogle generiske råd om, hvordan man håndterer kaprede browsere Sådan rengøres en hijacked web browser Sådan rengør du en hijacked web browser Hvad er mere frustrerende end at starte Firefox kun for at se, at din hjemmeside er blevet ændret uden din tilladelse? Måske har du endda fået en skinnende ny værktøjslinje. Disse ting er altid nyttige, ikke? Forkert. Læs mere og specifikt hvordan man kan fjerne kapaciteten i Chrome 3 væsentlige trin for at slippe af med Chrome Hijackers i få minutter. 3 Væsentlige skridt til at slippe af med Chrome Hijackers i minutter Har du nogensinde åbnet din browser og valgt med en bizarre start side eller en uhyggelig værktøjslinje limet øverst på siden? Gendan din browser til tip-top form. Læs mere .
Hvis du er inficeret med eFast, vil du være klog til at downloade MalwareBytes (som vi først dækkede i 2009 Stop & Delete Spyware Med Malwarebytes til Windows Stop og Slet Spyware med Malwarebytes til Windows Det kan ikke være så funktionelt ladet som Spybot Search og Destroy, som har et latterligt antal værktøjer, men det er et meget let alternativ med god spyware dækning. Læs mere). Udviklerne af dette var dem, der opdagede eFast, og deres anti-virus har de korrekte definitioner for at fjerne det.
Var du smittet af eFast? Kender nogen, der var? Fortæl mig om det i kommentarerne nedenfor.
Billedkreditter: Røde Djævelens hænder af Alex Malikov via Shutterstock