Il malware che colpisce il browser non è una novità. Ma malware che sostituisce un browser già esistente con uno progettato per tracciare i movimenti online, dirottare il traffico di ricerca e riempire ogni pagina con pubblicità indesiderate? Sì, è piuttosto interessante.
Il browser eFast è stato scoperto dal team MalwareBytes alcuni giorni fa, e fa tutto quanto sopra, e altro ancora .
Tirando un eFast One
Forse la cosa peggiore di eFast Browser è che, a meno che tu non sia particolarmente attento, potresti anche non accorgertene che è lì, poiché ci vuole molto tempo per camuffarsi.
Per i principianti, sembra e sembra il browser Chrome in buona fede The Easy Guide to Google Chrome Easy Guide to Google Chrome Questa guida per utenti di Chrome mostra tutto ciò che è necessario sapere sul browser Google Chrome. Riguarda le basi dell'utilizzo di Google Chrome che è importante per qualsiasi principiante. Ulteriori informazioni, poiché è stato creato sul browser Chromium. Questa è essenzialmente la versione completamente open-source di Chrome, con alcuni componenti proprietari rimossi.
Sorprendentemente, gli sviluppatori hanno persino progettato il logo per assomigliare da vicino all'iconico Chrome "Spiral".
Stupefacente. eFast strappa persino il logo di Google. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes), 19 ottobre 2015
Ma per quanto riguarda il comportamento, è molto simile ad altri adware dannosi. Inizia con la disinstallazione della versione ufficiale di Chrome. Quando lo si utilizza come browser, eFast traccerà e inserirà annunci pubblicitari in ogni singola pagina Web visitata. Distruggerà il traffico di ricerca e tenterà di indirizzarti verso altre pagine dannose.
Inoltre si associa a un ampio buffet di formati di file, forse per spingere gli utenti a usarlo di più. Questi formati sono:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- WebP
- XHT
- xhtml
Inoltre si associa alle seguenti associazioni di URL:
- ftp
- http
- https
- IRC
- mailto
- mms
- notizia
- NNTP
- sms
- smsto
- tel
- urna
- webcal
Le motivazioni dietro il browser eFast sono, ovviamente, puramente finanziarie.
Gli sviluppatori di malware sono motivati in modo schiacciante da motivi finanziari Cosa motiva le persone a hackerare i computer? Suggerimento: denaro Cosa motiva le persone a hackerare i computer? Suggerimento: i criminali del denaro possono usare la tecnologia per fare soldi. Lo sai. Ma ti sorprenderebbe quanto possano essere ingegnosi, dall'hacking e alla rivendita dei server alla riconfigurazione come minatori redditizi di Bitcoin. Leggi di più, e questa non fa eccezione. In effetti, significa guadagnare una buona quantità di denaro dai produttori, poiché le loro pubblicità vengono visualizzate su ogni singolo sito web che visiti. L'enorme potenziale di fare soldi illeciti è ciò che spinge gli sviluppatori di malware a bersagliare il browser.
L'attrazione del browser
Il browser ha sempre rappresentato un obiettivo allettante per gli sviluppatori di malware, semplicemente a causa del modo in cui lo usiamo e della frequenza con cui lo usiamo. Per molti, la loro esperienza di elaborazione si basa interamente sul browser.
Per lo meno, la stragrande maggioranza di noi usa i nostri browser Web per social networking, intrattenimento e shopping. Oltre a ciò, molti altri lo utilizzano per la produttività dell'ufficio, con prodotti come Google Drive che hanno soppiantato completamente Microsoft Office e Gmail ha quasi sostituito Outlook ed Exchange.
Poiché il browser detiene una posizione così stimata, rappresenta un'opportunità allettante per gli sviluppatori di malware. Al loro meglio, possono semplicemente inserire pubblicità indesiderate e dirottare il traffico di ricerca, ma nel peggiore dei casi possono rubare password, credenziali e informazioni bancarie.
Google, a loro credito, ha realizzato le minacce poste al proprio browser e ha fatto del suo meglio per renderlo il più sicuro possibile.
Ogni scheda di Chrome è strettamente in modalità sandbox e Google si è impegnata a rendere estremamente difficile l'esecuzione dei download drive-by. Nel maggio di quest'anno, Google ha preso la decisione di vietare le estensioni non Web Store. Se vuoi pubblicare la tua estensione di Chrome, deve passare attraverso Google e la loro rigorosa analisi del codice.
Come InfoSecTaylorSwift ha sottolineato in modo così saliente, Chrome ora è così sicuro, l'unico modo per attaccare il browser è sostituirlo .
I principali sostenitori del team di Chrome sono che è diventato così difficile dirottare Chrome che il malware deve letteralmente "posizionarlo" per attaccare in modo efficace.
- SecuriTay (@SwiftOnSecurity), 16 ottobre 2015
Chi c'è dietro?
Ormai sappiamo che eFast Browser ha un comportamento piuttosto orrendo e sappiamo che viene installato surrettiziamente sui computer delle persone. Ma chi ce l'ha fatta davvero?
Un buon punto di partenza è guardare il suo certificato digitale. Questo è stato firmato da "CLARALABSOFTWARE", con "clara-labs.com" elencato come nome di dominio associato.
La loro scelta del nome quasi certamente non fu un incidente. Non solo assomiglia da vicino ad altre società tecnologiche (come l'ISP britannico Claranet), ma suona anche come si definirebbe una società tecnologica legittima.
Ho quindi chiesto il loro record Whois. Questo è un record accessibile pubblicamente di chi possiede il sito e contiene le informazioni di contatto. Tuttavia, è possibile "opt-out" di Whois utilizzando un servizio di offuscamento di terze parti, come WhoisGuard. Non sorprende che questo è ciò che hanno fatto qui.
Così, ho deciso di visitare la home page di Clara Labs (non ci collegheremo direttamente) per vedere se sono in grado di trovare informazioni identificabili. Vale la pena ricordare che quando lo visiti con Chrome, Google ti avvisa di non continuare ulteriormente e afferma che si tratta di un noto distributore di malware.
Quando ho visitato, il sito era molto stressato, grazie al traffico generato dall'immenso interesse dei media che si è visto negli ultimi giorni.
Quando alla fine è stato caricato, ero un po 'deludente. La maggior parte del contenuto era il tipo di noiosa copia del web che è garantita a far splendere gli occhi. Per lo più si è concentrato su "arricchire l'esperienza dell'utente" attraverso la loro "piattaforma di annunci intelligenti", quasi come se le persone dovessero essere grate .
Più interessante, viene fornito con semplici istruzioni su come disabilitare gli annunci incorporati:
Anche se, se si è nella posizione in cui è stato installato, sarà molto meglio disinstallarlo completamente.
Non c'erano molte informazioni di contatto sul sito. Non c'era niente che dicesse chi lo stava dirigendo, o in quale giurisdizione si trovavano. Non c'era nessun numero di contatto o indirizzo postale. C'era comunque un indirizzo email. Mi sono messo in contatto e ho chiesto un commento.
Aggiornerò questo post se rispondono, ma non sto ripensando alle mie aspettative.
Sbarazzarsi di eFast Browser
Pensi di essere stato infettato? Bene, c'è un semplice test. Digita "chrome: // chrome" nella barra degli indirizzi. Se vedi qualcosa che dice "Informazioni su eFast", allora sei stato sicuramente infetto.
Se non c'è, ma stai ancora vedendo un comportamento strano, il tuo problema potrebbe provenire da un'altra fonte. Scarica un programma anti-malware e fai qualche ricerca. Abbiamo anche alcuni consigli generici su come gestire i browser dirottati Come pulire un browser Web dirottato Come pulire un browser Web dirottato Cosa c'è di più frustrante del lancio di Firefox solo per vedere che la tua homepage è stata cambiata senza la tua autorizzazione? Forse hai anche una nuova brillante barra degli strumenti. Queste cose sono sempre utili, vero? Sbagliato. Per saperne di più, e in particolare come annullare l'hijack di Chrome 3 Essential Steps per sbarazzarsi di Chrome Hijackers in pochi minuti 3 passaggi essenziali per sbarazzarsi dei dirottatori di Chrome in pochi minuti Hai mai aperto il tuo browser preferito e sei stato accolto da un inizio bizzarro pagina o una barra degli strumenti antiestetica incollata nella parte superiore della pagina? Ripristina il tuo browser in forma tip-top. Leggi di più .
Se sei infetto da eFast, sarebbe saggio scaricare MalwareBytes (che abbiamo trattato per la prima volta nel 2009 Stop & Delete Spyware con Malwarebytes per Windows Stop & Delete Spyware con Malwarebytes per Windows Potrebbe non essere così carico di funzionalità come Spybot Search e Destroy, che ha un numero ridicolo di strumenti, ma è un'alternativa molto leggera con una buona copertura spyware. Gli sviluppatori di questo sono stati quelli che hanno scoperto eFast e il loro antivirus ha le definizioni corrette per rimuoverlo.
Sei stato infettato da eFast? Conosci qualcuno che era? Parlamene nei commenti qui sotto.
Crediti immagine: le mani di Red Devil di Alex Malikov via Shutterstock