Malware die de browser target is niets nieuws. Maar malware die een bestaande browser vervangt door een die is ontworpen om online bewegingen bij te houden, zoekverkeer te kapen en elke pagina met ongewenste advertenties te vullen? Ja, dat is best interessant.
De eFast-browser is een paar dagen geleden door het MalwareBytes-team ontdekt en doet al het bovenstaande en meer .
Een eFast One trekken
Misschien is het ergste van eFast Browser dat je, tenzij je bijzonder oplettend bent, het niet eens merkt dat het er is, omdat het grote moeite doet zichzelf te camoufleren.
Om te beginnen, het ziet eruit en voelt aan als de bonafide Chrome-browser. De eenvoudige gids voor Google Chrome De eenvoudige gids voor Google Chrome Deze Chrome-gebruikershandleiding toont alles wat u moet weten over de Google Chrome-browser. Het behandelt de basisprincipes van het gebruik van Google Chrome die belangrijk is voor elke beginner. Lees meer omdat het is gebouwd op de Chromium-browser. Dit is in feite de volledig opensource-versie van Chrome, waarbij sommige eigendomscomponenten zijn verwijderd.
Verbazingwekkend genoeg hebben de ontwikkelaars het logo zelfs zo ontworpen dat het sterk lijkt op de iconische Chrome 'Spiral'.
Verbazingwekkend. eFast scheurt zelfs het logo van Google af. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19 oktober 2015
Maar qua gedrag lijkt het erg op andere kwaadaardige adware. Het begint met het de-installeren van de officiële versie van Chrome. Wanneer u het als een browser gebruikt, zal eFast advertenties bijhouden en invoegen op elke webpagina die u bezoekt. Het zal uw zoekverkeer kapen en u naar andere kwaadwillende pagina's leiden.
Het associeert zich ook met een breed scala aan bestandsformaten, misschien om gebruikers ertoe aan te zetten het meer te gebruiken. Deze formaten zijn:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- webp
- XHT
- xhtml
Het associeert zich ook met de volgende URL-associaties:
- ftp
- http
- https
- irc
- mailto
- mms
- nieuws
- nntp
- sms
- smsto
- tel
- urn
- webcal
De beweegredenen achter de eFast-browser zijn natuurlijk puur financieel.
Malware-ontwikkelaars worden overweldigend gemotiveerd door financiële redenen. Wat motiveert mensen om computers te hacken? Hint: Geld Wat motiveert mensen om computers te hacken? Hint: Money Criminals kunnen technologie gebruiken om geld te verdienen. Je weet dit. Maar je zou verbaasd zijn hoe vernuftig ze kunnen zijn, van het hacken en doorverkopen van servers tot het opnieuw configureren van hen als lucratieve Bitcoin-mijnwerkers. Lees meer, en dit is geen uitzondering. Sterker nog, het staat de makers een behoorlijke hoeveelheid geld te verdienen, omdat hun advertenties worden weergegeven op elke website die u bezoekt. Het enorme potentieel voor illegale geldwerving drijft ontwikkelaars van malware ertoe zich op de browser te richten.
De aantrekkingskracht van de browser
De browser heeft altijd een aantrekkelijk doelwit geschilderd voor ontwikkelaars van malware, gewoon vanwege de manier waarop we het gebruiken en hoe vaak we het gebruiken. Voor velen is hun computerervaring volledig in de browser gebaseerd.
Op zijn minst gebruikt de overgrote meerderheid van ons onze webbrowsers voor sociale netwerken, entertainment en winkelen. Buiten dat, gebruiken veel meer het als voor kantoorproductiviteit, met producten als Google Drive die Microsoft Office grondig hebben verdrongen, en Gmail hebben alles behalve Outlook en Exchange vervangen.
Omdat de browser zo'n gewaardeerde positie inneemt, is dit een verleidelijke kans voor ontwikkelaars van malware. Op hun meest goedaardige manier kunnen ze eenvoudig ongewenste advertenties invoegen en zoekverkeer kapen, maar in het slechtste geval kunnen ze wachtwoorden, inloggegevens en bankgegevens stelen.
Google heeft de bedreigingen voor zijn eigen browser beseft en zijn best gedaan om het zo veilig mogelijk te maken.
Elk Chrome-tabblad heeft een strak sandbox en Google heeft veel moeite gedaan om het downloaden van Drive-by-Downloads extreem moeilijk te maken. In mei van dit jaar heeft Google besloten om niet-Web Store-extensies te verbannen. Als u uw eigen Chrome-extensie wilt publiceren, moet deze via Google en hun rigoureuze code-analyse.
Zoals InfoSecTaylorSwift zo opvallend opmerkte, is Chrome nu zo veilig dat de enige manier om de browser aan te vallen is om deze te vervangen .
Grote steun aan het Chrome-team dat het zo moeilijk wordt om Chrome te kapen dat malware het probleem letterlijk moet_vervangen_ om effectief aan te vallen.
- SecuriTay (@SwiftOnSecurity) 16 oktober 2015
Wie zit er achter?
Inmiddels weten we dat de eFast-browser gepaard gaat met behoorlijk afschuwelijk gedrag en we weten dat het ongemerkt op de computers van mensen wordt geïnstalleerd. Maar wie heeft het eigenlijk gehaald?
Een goed uitgangspunt is om naar het digitale certificaat te kijken. Dit is ondertekend door "CLARALABSOFTWARE", waarbij "clara-labs.com" wordt vermeld als de bijbehorende domeinnaam.
Hun naamkeuze was vrijwel zeker geen toeval. Niet alleen lijkt het sterk op andere technologiebedrijven (zoals het Britse ISP Claranet), het klinkt ook als wat een legitiem technologiebedrijf zichzelf zou noemen.
Ik heb toen hun Whois-record opgevraagd. Dit is een publiek toegankelijke registratie van wie de eigenaar van de site is en bevat hun contactgegevens. Het is echter mogelijk om Whois "af te wijzen" door gebruik te maken van een obfuscation-service van derden, zoals WhoisGuard. Niet verwonderlijk, dit is wat ze hier hebben gedaan.
Dus besloot ik de startpagina van Clara Labs te bezoeken (we zullen er niet direct naar linken) om te zien of ik identificeerbare informatie kon vinden. Het is de moeite waard om erop te wijzen dat wanneer u Google bezoekt met Chrome, Google u waarschuwt niet verder te gaan en meldt dat het een bekende verspreide distributeur van malware is.
Toen ik er was, was de site onder zware druk, dankzij het verkeer dat werd gegenereerd door de immense media-aandacht die het de afgelopen dagen heeft gekend.
Toen het eindelijk geladen was, was ik een beetje teleurstellend. Het merendeel van de inhoud was het soort saaie webkopie die gegarandeerd je ogen doet glanzen. Het sprak meestal over "het verrijken van de gebruikerservaring" via hun "smart ads-platform", bijna alsof mensen dankbaar zouden moeten zijn.
Interessanter is dat het eenvoudige instructies bevat over het uitschakelen van de ingebouwde advertenties:
Hoewel, als je in de positie bent waar je het hebt geïnstalleerd, zou het veel beter zijn om het volledig te verwijderen.
Er was niet veel contactinformatie op de site. Er was niets dat zei wie het bestuurde of in welke jurisdictie ze zaten. Er was geen contactnummer of postadres. Er was echter een e-mailadres. Ik heb contact opgenomen en om een opmerking gevraagd.
Ik zal dit bericht bijwerken als ze antwoorden, maar ik krijg geen hoop.
Het wegwerken van eFast Browser
Denk je dat je bent besmet? Welnu, er is een eenvoudige test. Typ 'chrome: // chrome' in de adresbalk. Als u iets ziet dat zegt "Over eFast", dan bent u zeker besmet.
Als het er niet is, maar je ziet nog steeds vreemd gedrag, kan je probleem afkomstig zijn van een andere bron. Download een anti-malware-programma en doe wat onderzoek. We hebben ook een algemeen advies over hoe om te gaan met gekaapte browsers. Een gehavende webbrowser schoonmaken Een gehackte webbrowser schoonmaken Wat is meer frustrerend dan alleen Firefox te starten om te zien dat uw startpagina zonder uw toestemming is gewijzigd? Misschien heb je zelfs een glimmende nieuwe werkbalk. Die dingen zijn altijd handig, toch? Fout. Meer lezen, en meer specifiek, hoe u Chrome 3 essentiële stappen ontkipt om zich te ontdoen van Chrome-kapers In enkele minuten 3 Essentiële stappen om zich te ontdoen van Chrome-kapers in enkele minuten Heeft u ooit uw browser naar keuze geopend en bent u begroet met een bizar ogende start? pagina of een lelijke werkbalk die aan de bovenkant van de pagina is geplakt? Herstel uw browser naar de topvorm. Lees verder .
Als u besmet bent met eFast, is het verstandig om MalwareBytes te downloaden (die we voor het eerst behandeld hebben in 2009 Stop & Verwijder Spyware met Malwarebytes voor Windows Stop & verwijder spyware met Malwarebytes voor Windows Het is misschien niet zo geladen als Spybot Search and Destroy, met een belachelijk aantal tools, maar het is een lichtgewicht alternatief met een goede spyware-dekking. Lees meer). De ontwikkelaars hiervan waren degenen die eFast hebben ontdekt en hun antivirus heeft de juiste definities om het te verwijderen.
Ben je besmet door eFast? Ken je wie dan ook? Vertel het me in de reacties hieronder.
Afbeelding Credits: Red Devil's handen door Alex Malikov via Shutterstock