Découvrez eFast: ce malware remplace votre navigateur par un logiciel publicitaire

Publicité

Les logiciels malveillants qui ciblent le navigateur n'ont rien de nouveau. Mais les logiciels malveillants qui remplace un navigateur déjà existant, conçu pour suivre les mouvements en ligne, détourner le trafic de recherche et remplir chaque page de publicités indésirables? Oui, c'est assez intéressant.

Le navigateur eFast a été découvert par l'équipe de MalwareBytes Il y a quelques jours, et il fait tout ce qui précède, et plus.

Tirer un eFast One

Peut-être que la pire chose à propos d'eFast Browser est qu'à moins que vous ne soyez particulièrement observateur, vous ne remarquerez peut-être même pas qu'il est là, car il faut beaucoup de soin pour se camoufler.

Pour commencer, il ressemble et se sent comme navigateur Chrome authentique Le guide facile de Google ChromeCe guide de l'utilisateur de Chrome montre tout ce que vous devez savoir sur le navigateur Google Chrome. Il couvre les bases de l'utilisation de Google Chrome qui sont importantes pour tout débutant. Lire la suite , car il est basé sur le navigateur Chromium. Il s'agit essentiellement de la version entièrement open source de Chrome, avec certains composants propriétaires supprimés.

Étonnamment, les développeurs ont même conçu le logo pour ressembler étroitement à l'emblématique «Spirale» de Chrome.

Étonnant. eFast arrache même le logo de Google. pic.twitter.com/3oFF9DIo3K

- Matthew Hughes (@matthewhughes) 19 octobre 2015

Mais au niveau du comportement, il est très similaire à d'autres logiciels publicitaires malveillants. Il commence par désinstaller la version officielle de Chrome. Lorsque vous l'utilisez comme navigateur, eFast suivra et insérera des publicités dans chaque page Web que vous visiterez. Il détournera votre trafic de recherche et tentera de vous diriger vers d'autres pages malveillantes.

Il s'associe également à un large éventail de formats de fichiers, peut-être pour inciter les utilisateurs à l'utiliser davantage. Ces formats sont:

• gif
• htm
• html
• jpeg
• jpg
• pdf
• png
• shtml
• webp
• xht
• xhtml

Il s'associe également aux associations d'URL suivantes:

• ftp
• http
• https
• irc
• mailto
• mms
• nouvelles
• nntp
• SMS
• smsto
• tel
• urne
• webcal

Les motivations derrière le navigateur eFast sont, bien sûr, purement financières.

Les développeurs de logiciels malveillants sont massivementmotivé par des raisons financières Qu'est-ce qui motive les gens à pirater des ordinateurs? Indice: l'argentLes criminels peuvent utiliser la technologie pour gagner de l'argent. Tu sais ça. Mais vous seriez surpris de voir à quel point ils peuvent être ingénieux, du piratage et de la revente de serveurs à leur reconfiguration en mineurs de Bitcoin lucratifs. Lire la suite , et cela ne fait pas exception. En fait, cela rapporte aux fabricants une somme d'argent décente, car leurs annonces sont affichées sur chaque site Web que vous visitez. Le vaste potentiel de gagner de l'argent illégal est ce qui pousse les développeurs de logiciels malveillants à cibler le navigateur.

L'attraction du navigateur

Le navigateur a toujours peint une cible attrayante pour les développeurs de logiciels malveillants, simplement à cause de Comment nous l'utilisons, et à quelle fréquence nous l'utilisons. Pour beaucoup, leur expérience informatique est entièrement basée sur le navigateur.

À tout le moins, la grande majorité d'entre nous utilise nos navigateurs Web pour les réseaux sociaux, le divertissement et les achats. Au-delà de cela, beaucoup d'autres l'utilisent pour la productivité bureautique, avec des produits comme Google Drive ayant complètement remplacé Microsoft Office, et Gmail ayant pratiquement remplacé Outlook et Exchange.

Parce que le navigateur occupe une position si estimée, il présente une opportunité attrayante pour les développeurs de logiciels malveillants. Au mieux, ils peuvent simplement insérer des publicités indésirables et détourner le trafic de recherche, mais au pire, ils peuvent voler des mots de passe, des informations d'identification et des informations bancaires.

Google, à son crédit, a réalisé les menaces qui pèsent sur son propre navigateur et a fait de son mieux pour le rendre aussi sécurisé que possible.

Chaque onglet Chrome est étroitement placé dans un bac à sable, et Google a pris grand soin de rendre extrêmement difficile le téléchargement par lecteur. En mai de cette année, Google a décidé d'interdire les extensions non Web Store. Si vous souhaitez publier votre propre extension Chrome, elle doit passer par Google et leur analyse de code rigoureuse.

Comme InfoSecTaylorSwift l'a si bien souligné, Chrome est désormais si sécurisé, le seul moyen d'attaquer le navigateur est de remplacer il.

Les principaux avantages de l'équipe Chrome qu'il est si difficile de détourner Chrome que les logiciels malveillants doivent littéralement le remplacer pour attaquer efficacement.

- SecuriTay (@SwiftOnSecurity) 16 octobre 2015

Qui est derrière ça?

À l'heure actuelle, nous savons que le navigateur eFast est livré avec un comportement assez horrible, et nous savons qu'il est installé subrepticement sur les ordinateurs des gens. Mais qui a réussi?

Un bon point de départ est de regarder son certificat numérique. Celui-ci a été signé par «CLARALABSOFTWARE», avec «clara-labs.com» répertorié comme nom de domaine associé.

Leur choix de nom n'était certainement pas un accident. Non seulement cela ressemble étroitement à d'autres sociétés de technologie (comme UK ISP Claranet), mais cela ressemble aussi à ce qu'une société de technologie légitime s'appellerait.

J'ai ensuite interrogé leur record Whois. Il s'agit d'un enregistrement accessible au public des propriétaires du site et contenant leurs coordonnées. Cependant, il est possible de "désactiver" Whois en utilisant un service d'obscurcissement tiers, comme WhoisGuard. Sans surprise, c'est ce qu'ils ont fait ici.

J'ai donc décidé de visiter la page d'accueil de Clara Labs (nous n'allons pas y accéder directement), pour voir si je pouvais trouver des informations identifiables. Il convient de souligner que lorsque vous le visitez avec Chrome, Google vous avertit de ne pas continuer et indique qu'il s'agit d'un distributeur connu de logiciels malveillants.

Lors de ma visite, le site était très sollicité, grâce au trafic généré par l'immense intérêt médiatique qu'il a connu ces derniers jours.

Quand il a finalement été chargé, j'étais un peu déçu. La plupart du contenu était le type de copie Web fastidieuse qui garantira que vos yeux brillent. Il s'est surtout concentré sur «l'enrichissement de l'expérience utilisateur» via leur «plateforme de publicités intelligentes», presque comme si les gens devaient être reconnaissant.

Plus intéressant, il est livré avec des instructions simples sur la façon de désactiver les publicités intégrées:

Bien que, si vous êtes dans la position où vous l'avez installé, vous feriez mieux de le désinstaller entièrement.

Il n'y avait pas beaucoup d'informations de contact sur le site. Il n’y avait rien qui disait qui le dirigeait, ni dans quelle juridiction ils étaient basés. Il n'y avait ni numéro de contact ni adresse postale. Là était une adresse e-mail, cependant. Je suis entré en contact et j'ai demandé un commentaire.

Je mettrai à jour ce message s’ils répondent, mais je ne mets pas d’espoir.

Se débarrasser du navigateur eFast

Pensez-vous que vous avez été infecté? Eh bien, il y a un test simple. Tapez "chrome: // chrome" dans la barre d'adresse. Si vous voyez quelque chose qui dit «À propos d'eFast», alors vous avez certainement été infecté.

Si ce n'est pas le cas, mais que vous constatez toujours un comportement étrange, votre problème peut provenir d'une autre source. Téléchargez un programme anti-malware et faites des recherches. Nous avons également quelques conseils génériques sur la façon de gérer les navigateurs piratés Comment nettoyer un navigateur Web piratéQuoi de plus frustrant que de lancer Firefox uniquement pour voir que votre page d'accueil a été modifiée sans votre autorisation? Peut-être que vous avez même une nouvelle barre d'outils brillante. Ces choses sont toujours utiles, non? Faux. Lire la suite , et plus précisément comment détourner Chrome 3 étapes essentielles pour se débarrasser des pirates de l'air Chrome en quelques minutesAvez-vous déjà ouvert le navigateur de votre choix et été accueilli par une page de démarrage d'aspect bizarre ou une barre d'outils disgracieuse collée en haut de la page? Restaurez votre navigateur à la forme la plus haute. Lire la suite .

Si vous êtes infecté par eFast, il serait judicieux de télécharger MalwareBytes (que nous couvert pour la première fois en 2009 Arrêter et supprimer les logiciels espions avec Malwarebytes pour WindowsIl n'est peut-être pas aussi riche en fonctionnalités que Spybot Search and Destroy, qui a un nombre ridicule d'outils, mais c'est une alternative très légère avec une bonne couverture contre les logiciels espions. Lire la suite ). Les développeurs de ce sont ceux qui ont découvert eFast, et leur anti-virus a les définitions correctes pour le supprimer.

Avez-vous été infecté par eFast? Connaissez-vous quelqu'un qui l'était? Parlez-moi de cela dans les commentaires ci-dessous.

Crédits image:Les mains du diable rouge par Alex Malikov via Shutterstock