Conheça eFast: este malware substitui seu navegador por adware

Propaganda

O malware direcionado ao navegador não é novidade. Mas malware que substitui um navegador já existente, com um projetado para rastrear movimentos on-line, seqüestrar o tráfego de pesquisa e preencher cada página com anúncios indesejados? Sim, isso é bem interessante.

O navegador eFast foi descoberto pela equipe MalwareBytes alguns dias atrás, e faz tudo isso acima, e mais.

Puxando um eFast One

Talvez a pior coisa do eFast Browser seja que, a menos que você seja especialmente observador, talvez nem perceba que está lá, pois é preciso muito esforço para se camuflar.

Para iniciantes, parece e parece o navegador Chrome genuíno O guia fácil para o Google ChromeEste guia do usuário do Chrome mostra tudo o que você precisa saber sobre o navegador Google Chrome. Ele aborda os conceitos básicos do uso do Google Chrome, importantes para qualquer iniciante. consulte Mais informação , como ele é construído no navegador Chromium. Esta é essencialmente a versão totalmente open-source do Chrome, com alguns componentes proprietários removidos.

Surpreendentemente, os desenvolvedores até projetaram o logotipo para se parecer com o icônico Chrome “Spiral”.

Surpreendente. O eFast rasga o logotipo do Google. pic.twitter.com/3oFF9DIo3K

- Matthew Hughes (@matthewhughes) 19 de outubro de 2015

Mas, em termos de comportamento, é muito semelhante a outro adware malicioso. Começa por desinstalar a versão oficial do Chrome. Quando você o usa como navegador, o eFast rastreia e insere anúncios em todas as páginas da web que você visita. Ele seqüestrará seu tráfego de pesquisa e tentará direcioná-lo para outras páginas maliciosas.

Ele também se associa a uma ampla variedade de formatos de arquivo, talvez para levar os usuários a usá-lo mais. Esses formatos são:

• gif
• htm
• html
• jpeg
• jpg
• pdf
• png
• shtml
• webp
• xht
• xhtml

Também se associa às seguintes associações de URL:

• ftp
• http
• https
• irc
• mailto
• mms
• notícia
• nntp
• SMS
• smsto
• tel
• urna
• webcal

As motivações por trás do navegador eFast são, é claro, puramente financeiras.

Os desenvolvedores de malware são esmagadoramentemotivado por razões financeiras O que motiva as pessoas a invadir computadores? Dica: DinheiroOs criminosos podem usar a tecnologia para ganhar dinheiro. Você sabe disso. Mas você ficaria surpreso com o quão engenhosos eles podem ser, desde hackers e revendedores de servidores até reconfigurando-os como lucrativos mineradores de Bitcoin. consulte Mais informação , e isso não é exceção. De fato, vale a pena dar aos fabricantes uma quantia decente em dinheiro, pois seus anúncios são exibidos em todos os sites que você visita. O vasto potencial para ganhar dinheiro ilícito é o que leva os desenvolvedores de malware a direcionar o navegador.

A atração do navegador

O navegador sempre pintou um alvo atraente para desenvolvedores de malware, simplesmente por causa de quão nós o usamos e Com que frequência nós usamos isso. Para muitos, sua experiência com computação é totalmente baseada no navegador.

No mínimo, a grande maioria de nós usa nossos navegadores da Web para redes sociais, entretenimento e compras. Além disso, muitos outros o utilizam como para a produtividade do escritório, com produtos como o Google Drive suplantando completamente o Microsoft Office e o Gmail praticamente substituindo o Outlook e o Exchange.

Como o navegador ocupa uma posição tão estimada, ele apresenta uma oportunidade atraente para os desenvolvedores de malware. Na sua forma mais benigna, eles podem simplesmente inserir anúncios indesejados e seqüestrar o tráfego de pesquisa, mas na pior das hipóteses, podem roubar senhas, credenciais e informações bancárias.

O Google, para seu crédito, percebeu as ameaças colocadas em seu próprio navegador e fez o possível para torná-lo o mais seguro possível.

Cada guia do Chrome está bem protegida e o Google se esforçou bastante para tornar extremamente difícil a movimentação por downloads. Em maio deste ano, o Google tomou a decisão de proibir extensões que não são da Web Store. Se você deseja publicar sua própria extensão do Chrome, ela precisa passar pelo Google e sua rigorosa análise de código.

Como o InfoSecTaylorSwift apontou com tanta ênfase, o Chrome agora é tão seguro, a única maneira de atacar o navegador é: substituir isto.

Principais adereços para a equipe do Chrome que estão ficando tão difíceis de invadir o Chrome que o malware literalmente precisa substituí-lo para atacar efetivamente.

- SecuriTay (@SwiftOnSecurity) 16 de outubro de 2015

Quem está por trás disso?

Até agora, sabemos que o navegador eFast vem com um comportamento horrendo e sabemos que está sendo instalado clandestinamente nos computadores das pessoas. Mas quem realmente fez isso?

Um bom ponto de partida é olhar para o seu certificado digital. Isso foi assinado por “CLARALABSOFTWARE”, com “clara-labs.com” listado como o nome de domínio associado.

A escolha do nome deles quase certamente não foi um acidente. Não apenas se assemelha a outras empresas de tecnologia (como o ISP do Reino Unido Claranet), mas também soa como o que uma empresa de tecnologia legítima se chamaria.

Eu então perguntei o registro Whois deles. Este é um registro acessível ao público de quem é o proprietário do site e contém suas informações de contato. No entanto, é possível optar por não participar do Whois usando um serviço de ofuscação de terceiros, como o WhoisGuard. Sem surpresa, é isso que eles fizeram aqui.

Decidi visitar a página inicial do Clara Labs (não vamos vincular diretamente a ela), para ver se eu consegui encontrar alguma informação identificável. Vale ressaltar que, quando você o visita no Chrome, o Google avisa para não continuar mais e afirma que é um conhecido distribuidor de malware.

Quando visitei, o site estava sob muita pressão, graças ao tráfego gerado pelo imenso interesse da mídia que ele viu nos últimos dias.

Quando finalmente carregou, fiquei um pouco desapontado. A maior parte do conteúdo era do tipo de cópia da web tediosa que garantia que seus olhos ficassem vidrados. Em geral, falava sobre “enriquecer a experiência do usuário” por meio de sua “plataforma de anúncios inteligentes”, quase como se as pessoas devessem grato.

O mais interessante é que ele vem com instruções simples sobre como desativar os anúncios internos:

Embora você esteja na posição em que o instalou, é muito melhor desinstalá-lo completamente.

Não havia muitas informações de contato no site. Não havia nada que dissesse quem o estava executando ou em que jurisdição eles se baseavam. Não havia número de contato ou endereço postal. Lá estava um endereço de e-mail, no entanto. Entrei em contato e pedi um comentário.

Atualizarei esta postagem se eles responderem, mas não estou tendo muitas esperanças.

Livrar-se do navegador eFast

Você acha que foi infectado? Bem, há um teste simples. Digite "chrome: // chrome" na barra de endereço. Se vir algo que diz "Sobre o eFast", você definitivamente foi infectado.

Se não estiver lá, mas você ainda estiver vendo um comportamento estranho, seu problema pode vir de outra fonte. Baixe um programa anti-malware e faça alguma investigação. Também temos alguns conselhos genéricos sobre como lidar com navegadores seqüestrados Como limpar um navegador seqüestradoO que é mais frustrante do que iniciar o Firefox apenas para ver que sua página inicial foi alterada sem a sua autorização? Talvez você tenha uma barra de ferramentas nova e brilhante. Essas coisas são sempre úteis, certo? Errado. consulte Mais informação e especificamente como desbloquear o Chrome 3 etapas essenciais para se livrar de seqüestradores de cromo em minutosVocê já abriu o seu navegador preferido e foi recebido com uma página inicial de aparência estranha ou uma barra de ferramentas feia colada no topo da página? Restaure o seu navegador para a melhor forma. consulte Mais informação .

Se você está infectado com o eFast, faça o download do MalwareBytes (que nós coberto pela primeira vez em 2009 Parar e excluir spyware com Malwarebytes para WindowsPode não ser tão carregado de recursos quanto o Spybot Search and Destroy, que possui um número ridículo de ferramentas, mas é uma alternativa muito leve com boa cobertura de spyware. consulte Mais informação ). Os desenvolvedores foram os que descobriram o eFast, e seu antivírus possui as definições corretas para removê-lo.

Você foi infectado pelo eFast? Conhece alguém que era? Conte-me sobre isso nos comentários abaixo.

Créditos da imagem:Mãos do diabo vermelho por Alex Malikov via Shutterstock