Advertentie
Malware die op de browser is gericht, is niets nieuws. Maar malware dat vervangt een reeds bestaande browser met een ontworpen om online bewegingen te volgen, zoekverkeer te kapen en elke pagina te vullen met ongewenste advertenties? Ja, dat is best interessant.
De eFast-browser is ontdekt door het MalwareBytes-team een paar dagen geleden, en het doet al het bovenstaande, en meer.
Een eFast One trekken
Misschien wel het ergste van eFast Browser is dat je, tenzij je bijzonder oplettend bent, het misschien niet eens merkt dat het er is, omdat het veel moeite kost om zichzelf te camoufleren.
Om te beginnen ziet het eruit en voelt het als de bonafide Chrome-browser De eenvoudige gids voor Google ChromeDeze Chrome-gebruikershandleiding toont alles wat u moet weten over de Google Chrome-browser. Het behandelt de basis van het gebruik van Google Chrome dat belangrijk is voor elke beginner. Lees verder , omdat het is gebouwd op de Chromium Browser. Dit is in wezen de volledig open-source versie van Chrome, waarbij enkele bedrijfseigen componenten zijn verwijderd.
Verbazingwekkend genoeg hebben de ontwikkelaars het logo zelfs zo ontworpen dat het sterk lijkt op de iconische Chrome "Spiral".
Verbazingwekkend. eFast scheurt zelfs het logo van Google weg. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19 oktober 2015
Maar qua gedrag lijkt het erg op andere kwaadaardige adware. Het begint met het verwijderen van de officiële versie van Chrome. Wanneer u het als browser gebruikt, zal eFast advertenties volgen en invoegen in elke webpagina die u bezoekt. Het kaapt uw zoekverkeer en probeert u naar andere kwaadaardige pagina's te leiden.
Het associeert zich ook met een breed scala aan bestandsindelingen, misschien om gebruikers ertoe aan te zetten het meer te gebruiken. Deze formaten zijn:
- gif
- htm
- html
- jpeg
- jpg
- PNG
- shtml
- webp
- xht
- xhtml
Het associeert zich ook met de volgende URL-koppelingen:
- ftp
- http
- https
- irc
- mailto
- mms
- nieuws
- nntp
- sms
- smsto
- tel
- urn
- webcal
De drijfveren achter de eFast-browser zijn natuurlijk puur financieel.
Malware-ontwikkelaars zijn overweldigendgemotiveerd door financiële redenen Wat motiveert mensen om computers te hacken? Hint: geldCriminelen kunnen technologie gebruiken om geld te verdienen. Je weet dit. Maar het zou je verbazen hoe ingenieus ze kunnen zijn, van het hacken en doorverkopen van servers tot het opnieuw configureren als lucratieve Bitcoin-mijnwerkers. Lees verder , en dit is geen uitzondering. In feite verdient het de makers een behoorlijke hoeveelheid geld te verdienen, omdat hun advertenties worden weergegeven op elke website die u bezoekt. Het enorme potentieel voor het maken van illegale geld is wat malware-ontwikkelaars ertoe aanzet de browser te targeten.
De aantrekkingskracht van de browser
De browser heeft altijd een aantrekkelijk doelwit gemaakt voor malware-ontwikkelaars, simpelweg vanwege hoe we gebruiken het, en hoe vaak we gebruiken het. Voor velen is hun computerervaring volledig in de browser gebaseerd.
De overgrote meerderheid van ons gebruikt onze webbrowsers op zijn minst voor sociale netwerken, entertainment en winkelen. Afgezien daarvan gebruiken veel meer mensen het voor kantoorproductiviteit, met producten als Google Drive die Microsoft Office grondig hebben verdrongen en Gmail bijna Outlook en Exchange hebben vervangen.
Omdat de browser zo'n gewaardeerde positie inneemt, biedt het een aantrekkelijke kans voor malware-ontwikkelaars. In het gunstigste geval kunnen ze eenvoudig ongewenste advertenties invoegen en zoekverkeer kapen, maar in het ergste geval kunnen ze wachtwoorden, inloggegevens en bankgegevens stelen.
Google, tot hun eer, hebben de bedreigingen voor hun eigen browser ingezien en hebben hun best gedaan om het zo veilig mogelijk te maken.
Elk Chrome-tabblad heeft een strakke sandbox en Google heeft veel moeite gedaan om drive-by-downloads extreem moeilijk te maken. In mei van dit jaar heeft Google besloten niet-webwinkel-extensies te verbieden. Als u uw eigen Chrome-extensie wilt publiceren, moet deze door Google gaan en hun rigoureuze code-analyse.
Zoals InfoSecTaylorSwift zo opvallend opmerkte, is Chrome nu zo veilig dat de enige manier om de browser aan te vallen is om vervangen het.
Belangrijke rekwisieten voor het Chrome-team dat het zo moeilijk wordt om Chrome te kapen dat malware het letterlijk moet _vervangen_ om effectief aan te vallen.
- SecuriTay (@SwiftOnSecurity) 16 oktober 2015
Wie zit erachter?
Inmiddels weten we dat de eFast-browser behoorlijk gruwelijk gedrag vertoont en we weten dat deze heimelijk op de computers van mensen wordt geïnstalleerd. Maar wie heeft het eigenlijk gemaakt?
Een goed startpunt is om naar het digitale certificaat te kijken. Dit is ondertekend door "CLARALABSOFTWARE", met "clara-labs.com" vermeld als de bijbehorende domeinnaam.
Hun naamkeuze was vrijwel zeker geen ongeluk. Het lijkt niet alleen sterk op andere technologiebedrijven (zoals UK ISP Claranet), het klinkt ook als wat een legitiem technologiebedrijf zichzelf zou noemen.
Ik vroeg toen hun Whois-record. Dit is een openbaar toegankelijke record van wie de eigenaar is van de site en bevat hun contactgegevens. Het is echter mogelijk om u af te melden voor Whois door gebruik te maken van een externe verduisteringsservice, zoals WhoisGuard. Het is niet verwonderlijk dat ze dit hier hebben gedaan.
Dus besloot ik de Clara Labs-startpagina te bezoeken (we gaan er niet rechtstreeks naar linken) om te zien of ik identificeerbare informatie kon vinden. Het is de moeite waard om erop te wijzen dat Google, wanneer u het met Chrome bezoekt, u waarschuwt niet verder te gaan, en stelt dat het een bekende distributeur van malware is.
Toen ik het bezocht, stond de site onder grote druk, dankzij het verkeer dat werd gegenereerd door de enorme media-interesse die het de afgelopen dagen heeft gezien.
Toen het eindelijk werd geladen, was ik een beetje teleurstellend. Het grootste deel van de inhoud was het type saaie webkopie dat je ogen gegarandeerd doet glanzen. Het ging vooral in op 'verrijking van de gebruikerservaring' via hun 'slimme advertentieplatform', bijna alsof mensen dat zouden moeten zijn dankbaar.
Interessanter is dat het eenvoudige instructies bevat voor het uitschakelen van de ingebouwde advertenties:
Hoewel, als u zich in de positie bevindt waar u het hebt geïnstalleerd, u er veel beter aan kunt doen om het volledig te verwijderen.
Er waren niet veel contactgegevens op de site. Er was niets dat zei wie het runde, of in welke jurisdictie ze waren gevestigd. Er was geen contactnummer of postadres. Daar was een e-mailadres. Ik heb contact opgenomen en om een opmerking gevraagd.
Ik update dit bericht als ze antwoorden, maar ik heb niet veel hoop.
De eFast-browser verwijderen
Denk je dat je besmet bent? Welnu, er is een eenvoudige test. Typ "chrome: // chrome" in de adresbalk. Als je iets ziet met de tekst 'Over eFast', ben je zeker besmet.
Als het er niet is, maar je nog steeds vreemd gedrag ziet, kan je probleem afkomstig zijn van een andere bron. Download een anti-malware-programma en doe wat onderzoek. We hebben ook wat generiek advies over hoe omgaan met gekaapte browsers Hoe een gekaapte webbrowser schoon te makenWat is er frustrerender dan Firefox alleen te starten om te zien dat uw startpagina zonder uw toestemming is gewijzigd? Misschien heb je zelfs een glimmende nieuwe werkbalk. Die dingen zijn altijd handig, toch? Fout. Lees verder , en specifiek hoe je Chrome kunt kapen 3 essentiële stappen om Chrome-kapers binnen enkele minuten te verwijderenHeb je ooit je favoriete browser geopend en werd je begroet met een bizar ogende startpagina of een onooglijke werkbalk die aan de bovenkant van de pagina is geplakt? Herstel uw browser naar tip-top vorm. Lees verder .
Als je besmet bent met eFast, is het verstandig om MalwareBytes te downloaden (wat we voor het eerst gedekt in 2009 Stop en verwijder spyware met Malwarebytes voor WindowsHet is misschien niet zo rijk aan functies als Spybot Search and Destroy, dat een belachelijk aantal tools heeft, maar het is een zeer lichtgewicht alternatief met een goede dekking van spyware. Lees verder ). De ontwikkelaars hiervan waren degenen die eFast ontdekten en hun antivirus heeft de juiste definities om het te verwijderen.
Ben je besmet met eFast? Iemand wie was? Vertel me erover in de reacties hieronder.
Afbeeldingscredits:De handen van de rode duivel door Alex Malikov via Shutterstock
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.