Conheça o eFast: Este malware substitui seu navegador por um adware

O eFast Browser é um malware que substitui seu navegador existente por um projetado para rastrear movimentos on-line, seqüestrar tráfego de busca e preencher cada página com anúncios indesejados. Então, como você para isso?

O eFast Browser é um malware que substitui seu navegador existente por um projetado para rastrear movimentos on-line, seqüestrar tráfego de busca e preencher cada página com anúncios indesejados.  Então, como você para isso?
Propaganda

O malware que é direcionado ao navegador não é novidade. Mas o malware que substitui um navegador já existente por um projetado para rastrear movimentos on-line, seqüestrar o tráfego de pesquisa e preencher cada página com anúncios indesejados? Sim, isso é bem interessante.

O eFast Browser foi descoberto pela equipe MalwareBytes há alguns dias, e faz tudo isso e muito mais .

Puxando um eFast One

Talvez a pior coisa do eFast Browser seja que, a menos que você seja especialmente observador, talvez nem perceba que está lá, pois é difícil se camuflar.

Para começar, parece e se sente como o navegador Chrome fidedigno O Guia Fácil para o Google Chrome O Guia Fácil para o Google Chrome Este guia do usuário do Chrome mostra tudo o que você precisa saber sobre o navegador Google Chrome. Abrange os conceitos básicos do uso do Google Chrome, que é importante para qualquer iniciante. Leia mais, como ele é construído no navegador do Chromium. Esta é essencialmente a versão totalmente aberta do Chrome, com alguns componentes proprietários removidos.

Surpreendentemente, os desenvolvedores até projetaram o logotipo para se parecer com o icônico Chrome “Spiral”.

Surpreendente. O eFast até rasga o logotipo do Google. pic.twitter.com/3oFF9DIo3K

- Matthew Hughes (@matthewhughes) 19 de outubro de 2015

Mas em termos de comportamento, é muito semelhante a outro adware malicioso. Começa desinstalando a versão oficial do Chrome. Quando você o usa como navegador, o eFast rastreará e inserirá anúncios em todas as páginas da Web que você visitar. Ele seqüestrará seu tráfego de pesquisa e tentará direcioná-lo para outras páginas maliciosas.

Também se associa a uma ampla variedade de formatos de arquivos, talvez para levar os usuários a usá-los mais. Esses formatos são:

  • gif
  • htm
  • html
  • jpeg
  • jpg
  • pdf
  • png
  • shtml
  • webp
  • xht
  • xhtml

Também se associa às seguintes associações de URL:

  • ftp
  • http
  • https
  • irc
  • mailto
  • mms
  • notícia
  • nntp
  • SMS
  • smsto
  • tel
  • urna
  • webcal

As motivações por trás do navegador eFast são, obviamente, puramente financeiras.

Desenvolvedores de malware são esmagadoramente motivados por razões financeiras O que motiva as pessoas a cortar computadores? Dica: Dinheiro O que motiva as pessoas a invadir computadores? Dica: Money Criminals podem usar a tecnologia para ganhar dinheiro. Você sabe disso. Mas você ficaria surpreso com o quão engenhosos eles podem ser, desde hackear e revender servidores até reconfigurá-los como lucrativos mineradores de Bitcoin. Leia mais, e isso não é exceção. Na verdade, significa ganhar uma quantia considerável de dinheiro, já que seus anúncios são exibidos em todos os sites que você visita. O vasto potencial para fazer dinheiro ilícito é o que leva os desenvolvedores de malware a atacar o navegador.

A atração do navegador

O navegador sempre pintou um alvo atraente para desenvolvedores de malware, simplesmente por causa de como o usamos e com que frequência o usamos. Para muitos, sua experiência de computação é baseada totalmente no navegador.

No mínimo, a grande maioria de nós usa nossos navegadores para redes sociais, entretenimento e compras. Além disso, muitos mais o usam quanto à produtividade de escritório, com produtos como o Google Drive tendo suplantado completamente o Microsoft Office e o Gmail tendo substituído o Outlook e o Exchange.

Como o navegador mantém uma posição tão estimada, apresenta uma oportunidade atraente para os desenvolvedores de malware. Em sua forma mais benigna, eles podem simplesmente inserir anúncios indesejados e sequestrar o tráfego de pesquisa, mas, na pior das hipóteses, podem roubar senhas, credenciais e informações bancárias.

O Google, para seu crédito, percebeu as ameaças colocadas ao seu próprio navegador e fez o melhor para torná-lo o mais seguro possível.

Cada guia do Google Chrome é bem delimitada em termos de sandbox e o Google se empenhou bastante para tornar extremamente difícil a geração de downloads por unidade. Em maio deste ano, o Google tomou a decisão de proibir extensões que não são da Web Store. Se você deseja publicar sua própria extensão do Google Chrome, ela precisa passar pelo Google e analisar rigorosamente o código.

Como o InfoSecTaylorSwift salientou de maneira tão notável, agora o Chrome está tão seguro que a única maneira de atacar o navegador é substituí- lo.

É importante para a equipe do Google Chrome que está ficando tão difícil invadir o Chrome que o malware literalmente precisa substituí-lo por um ataque eficiente.

- SecuriTay (@SwiftOnSecurity) 16 de outubro de 2015

Quem está por trás disso?

Até agora, sabemos que o eFast Browser vem com um comportamento bastante horrível, e sabemos que ele está sendo instalado clandestinamente nos computadores das pessoas. Mas quem realmente fez isso?

Um bom ponto de partida é olhar para o seu certificado digital. Este foi assinado por "CLARALABSOFTWARE", com "clara-labs.com" listado como o nome de domínio associado.

Sua escolha do nome quase certamente não foi um acidente. Não apenas se assemelha a outras empresas de tecnologia (como o ISP Claranet, do Reino Unido), mas também soa como uma empresa de tecnologia legítima se chamaria.

Eu então questionei o seu registro Whois. Este é um registro publicamente acessível de quem é o proprietário do site e contém suas informações de contato. No entanto, é possível "optar por sair" do Whois usando um serviço de ofuscação de terceiros, como o WhoisGuard. Sem surpresa, isso é o que eles fizeram aqui.

efast-whois

Por isso, decidi visitar a página inicial da Clara Labs (não vou vinculá-la diretamente), para ver se conseguia encontrar alguma informação identificável. Vale a pena ressaltar que, quando você o visita com o Google Chrome, o Google avisa para não continuar mais e afirma que é um conhecido distribuidor de malware.

efast-warning

Quando eu visitei, o site estava sob muita pressão, graças ao tráfego gerado pelo imenso interesse da mídia que é visto nos últimos dias.

Quando finalmente carregado, fiquei um pouco desapontado. A maior parte do conteúdo era do tipo de cópia tediosa da web que garante que seus olhos fiquem esmaecidos. Na maior parte do tempo, ele falou sobre “enriquecer a experiência do usuário” por meio de sua “plataforma de anúncios inteligentes”, quase como se as pessoas fossem gratas .

efast-enhancer

Mais interessante, ele vem com instruções simples sobre como desabilitar os anúncios internos:

efast-advert

Embora, se você estiver na posição em que você o instalou, seria muito melhor desinstalá-lo completamente.

Não havia muita informação de contato no site. Não havia nada que dissesse quem o estava administrando ou em que jurisdição eles estavam baseados. Não havia número de contato ou endereço postal. Havia um endereço de e-mail, no entanto. Entrei em contato e pedi um comentário.

e-mail

Eu atualizarei este post se eles responderem, mas eu não estou recebendo minhas esperanças.

Livrar-se do eFast Browser

Você acha que foi infectado? Bem, há um teste simples. Digite "chrome: // chrome" na barra de endereço. Se você ver algo que diz "Sobre eFast", então você definitivamente foi infectado.

Se não estiver lá, mas você ainda estiver vendo um comportamento estranho, seu problema pode vir de outra fonte. Faça o download de um programa anti-malware e faça alguma investigação. Nós também temos alguns conselhos genéricos sobre como lidar com os navegadores seqüestrados Como limpar um navegador Web seqüestrado Como limpar um navegador da Web seqüestrado O que é mais frustrante do que lançar o Firefox apenas para ver que sua página inicial foi alterada sem a sua autorização? Talvez você até tenha uma barra de ferramentas nova e brilhante. Essas coisas são sempre úteis, certo? Errado. Leia mais, e especificamente como sequestrar o Chrome 3 passos essenciais para se livrar dos sequestradores de Chrome em minutos 3 passos essenciais para se livrar dos sequestradores de Chrome em minutos Você já abriu o navegador de sua escolha e foi recebido com um início bizarro? página ou uma barra de ferramentas desagradável colada ao topo da página? Restaure seu navegador para o formato tip-top. Consulte Mais informação .

Se você está infectado com o eFast, é aconselhável fazer o download do MalwareBytes (o qual abordamos em 2009 Stop & Delete Spyware com Malwarebytes para Windows Stop & Delete Spyware com o Malwarebytes for Windows Pode não ser tão cheio de recursos quanto o Spybot Search e Destroy, que tem um número ridículo de ferramentas, mas é uma alternativa muito leve, com boa cobertura de spyware. Leia mais). Os desenvolvedores deste foram os que descobriram o eFast, e seu antivírus tem as definições corretas para removê-lo.

Você foi infectado pelo eFast? Conhece alguém que foi? Conte-me sobre isso nos comentários abaixo.

Créditos da Imagem: Mãos do Diabo Vermelho por Alex Malikov via Shutterstock

In this article