Möt eFast: Det här skadliga programmet Byt ut din webbläsare med adware

Annons

Malware som riktar sig till webbläsaren är inget nytt. Men skadlig programvara det ersätter en redan befintlig webbläsare med en som är utformad för att spåra rörelser online, kapa söktrafik och fylla varje sida med oönskade annonser? Ja, det är ganska intressant.

EFast-webbläsaren upptäcktes av MalwareBytes-teamet för några dagar sedan, och det gör allt ovan, och mer.

Dra en eFast One

Det kanske värsta med eFast Browser är att om du inte är särskilt iakttagbar, kanske du inte ens märker att den är där, eftersom det kräver mycket att kamouflera sig själv.

Till att börja med ser det ut och känns som bona-fide Chrome-webbläsare Enkel guide till Google ChromeDen här Chrome-användarhandboken visar allt du behöver veta om Google Chrome-webbläsaren. Det täcker grunderna för att använda Google Chrome som är viktigt för alla nybörjare. Läs mer , som det är byggt på Chromium Browser. Detta är i huvudsak den helt öppen källkodsversionen av Chrome, med vissa egna komponenter bort.

Förvånande nog har utvecklarna till och med designat logotypen så att den liknar den ikoniska Chrome “Spiral”.

Förvånande. eFast rensar till och med Googles logotyp. pic.twitter.com/3oFF9DIo3K

- Matthew Hughes (@matthewhughes) 19 oktober 2015

Men beteendemässigt är det mycket som andra skadliga annonsprogrammer. Det börjar med att avinstallera den officiella versionen av Chrome. När du använder den som webbläsare kommer eFast att spåra och infoga annonser på varje webbsida du besöker. Det kommer att kapa din söktrafik och försöka rikta dig till andra skadliga sidor.

Den associerar sig också med ett brett smörgåsbord av filformat, kanske för att driva användare att använda det mer. Dessa format är:

• gif
• htm
• html
• jpeg
• jpg
• pdf
• png
• shtml
• webp
• XHT
• xhtml

Den associerar sig också med följande URL-föreningar:

• ftp
• http
• https
• irc
• mailto
• mms
• Nyheter
• nntp
• SMS
• smsto
• tel
• urna
• webcal

Motivationerna bakom eFast-webbläsaren är naturligtvis rent ekonomiska.

Malware-utvecklare är överväldigandemotiverade av ekonomiska skäl Vad motiverar människor att hacka datorer? Tips: pengarKriminella kan använda teknik för att tjäna pengar. Du vet detta. Men du skulle bli förvånad över hur geniala de kan vara, från hacking och återförsäljning av servrar till omkonfigurering av dem som lukrativa Bitcoin gruvarbetare. Läs mer , och detta är inget undantag. Faktum är att det tjänar tillverkarna en anständig mängd kontanter, eftersom deras annonser visas på varje webbplats du besöker. Den stora potentialen för olaglig pengar är vad som driver malware-utvecklare att rikta in sig på webbläsaren.

Attraktionen i webbläsaren

Webbläsaren har alltid målade ett lockande mål för malware-utvecklare, helt enkelt på grund av på vilket sätt vi använder det, och hur ofta vi använder det. För många är deras datorupplevelse helt baserad i webbläsaren.

Åtminstone använder de allra flesta av oss våra webbläsare för sociala nätverk, underhållning och shopping. Utöver det använder många fler det som för kontorproduktivitet, med produkter som Google Drive som grundligt har ersatt Microsoft Office och Gmail har allt utom ersatt Outlook och Exchange.

Eftersom webbläsaren har en så uppskattad position ger den en lockande möjlighet för skadliga programutvecklare. På det mest godartade kan de helt enkelt sätta in oönskade annonser och kapa söktrafik, men som värst kan de stjäla lösenord, referenser och bankinformation.

Google har, till deras kredit, insett de hot som ställs för sin egen webbläsare och har gjort sitt bästa för att göra det så säkert som möjligt.

Varje Chrome-flik är tätt sandlådad, och Google har gjort stora problem för att göra det extremt svårt för drive-by-downloads att äga rum. I maj i år fattade Google beslutet att förbjuda tillägg utan webbutik. Om du vill publicera ditt eget Chrome-tillägg måste det gå via Google och deras stränga kodanalys.

Som InfoSecTaylorSwift så tydligt påpekade är Chrome nu så säkert, det enda sättet att attackera webbläsaren är att byta ut den.

Stora förslag till Chrome-teamet att det blir så svårt att kapa Chrome att skadlig programvara bokstavligen måste _placera det_ för att effektivt attackera.

- SecuriTay (@SwiftOnSecurity) 16 oktober 2015

Vem står bakom det?

Nu vet vi att eFast-webbläsaren har något ganska fruktansvärt beteende, och vi vet att den installeras otroligt på människors datorer. Men vem gjorde det faktiskt?

En bra utgångspunkt är att titta på det digitala certifikatet. Detta har undertecknats av "CLARALABSOFTWARE", med "clara-labs.com" som det tillhörande domännamnet.

Deras val av namn var nästan säkert inte en olycka. Det liknar inte bara andra teknikföretag (som Storbritanniens ISP Claranet), det låter också som ett legitimt teknikföretag skulle kalla sig själva.

Jag frågade sedan deras Whois-rekord. Detta är ett offentligt tillgängligt register över vem som äger webbplatsen och innehåller deras kontaktinformation. Det är emellertid möjligt att "avveckla" Whois med hjälp av en tredjeparts-obfuskningstjänst, som WhoisGuard. Det är inte förvånande att det är vad de har gjort här.

Så jag bestämde mig för att besöka Clara Labs hemsida (vi kommer inte att länka till den direkt) för att se om jag kunde hitta någon identifierbar information. Det är värt att påpeka att när du besöker det med Chrome varnar Google dig för att inte fortsätta vidare och säger att det är en känd distributör av skadlig programvara.

När jag besökte var webbplatsen mycket belastad tack vare den trafik som genererats av det enorma medieintresse som det har sett de senaste dagarna.

När det äntligen laddades blev jag lite undervåld. Det mesta av innehållet var den typ av tråkiga webbkopia som garanterat får dina ögon att glasera över. Det blev mestadels om att "berika användarupplevelsen" genom deras "smarta annonsplattform", nästan som om människor borde vara tacksam.

Mer intressant kommer det med enkla instruktioner om hur du inaktiverar de inbyggda annonserna:

Även om du är i den position där du har installerat det skulle du vara mycket bättre på att avinstallera det helt.

Det fanns inte mycket kontaktinformation på webbplatsen. Det var inget som sa vem som driver det, eller vilken jurisdiktion de var baserade på. Det fanns inget kontaktnummer eller postadress. där var en e-postadress dock. Jag har kontaktat och bad om en kommentar.

Jag kommer att uppdatera det här inlägget om de svarar, men jag får inte upp mina hopp.

Bli av med eFast Browser

Tror du att du har blivit smittad? Det finns ett enkelt test. Skriv "chrome: // chrome" i adressfältet. Om du ser något som säger "Om eFast", har du definitivt blivit smittad.

Om det inte finns där, men du fortfarande ser konstigt beteende, kan ditt problem komma från en annan källa. Ladda ner ett program mot skadlig programvara och gör en undersökning. Vi har också några generiska råd om hur du gör det ta itu med kapade webbläsare Hur man rengör en kapad webbläsareVad är mer frustrerande än att starta Firefox bara för att se att din hemsida har ändrats utan din auktorisation? Kanske har du till och med fått ett glänsande nytt verktygsfält. Dessa saker är alltid användbara, eller hur? Fel. Läs mer och särskilt hur man avkapslar Chrome 3 väsentliga steg för att bli av med Chrome-kapare på några minuterHar du någonsin öppnat din webbläsare som du valde och blivit hälsad med en bisarri startsida eller ett fula verktygsfält limmat på toppen av sidan? Återställ webbläsaren så att den är i toppform. Läs mer .

Om du är infekterad med eFast skulle du vara klok att ladda ner MalwareBytes (som vi först täckte 2009 Stoppa och radera spionprogram med Malwarebytes för WindowsDet kanske inte är lika funktionsbelastat som Spybot Search and Destroy, som har ett löjligt antal verktyg, men det är ett mycket lätt alternativ med bra spionprogramstäckning. Läs mer ). Utvecklarna av detta var de som upptäckte eFast, och deras antivirus har rätt definitioner för att ta bort det.

Har du smittats av eFast? Vet du någon som var? Berätta om det i kommentarerna nedan.

Bildkrediter:Röda djävulens händer av Alex Malikov via Shutterstock