Les logiciels malveillants qui ciblent le navigateur n'ont rien de nouveau. Mais les logiciels malveillants qui remplacent un navigateur déjà existant avec un conçu pour suivre les mouvements en ligne, pirater le trafic de recherche, et remplir chaque page avec des publicités indésirables? Oui, c'est très intéressant.
Le navigateur eFast a été découvert par l'équipe MalwareBytes il y a quelques jours, et il fait tout ce qui précède, et plus encore .
Tirer un eFast One
Peut-être la pire chose à propos de eFast Browser est que, à moins que vous soyez particulièrement attentif, vous ne remarquerez peut-être même pas qu'il est là, car il prend beaucoup de peine à se camoufler.
Pour commencer, il ressemble et se sent comme le navigateur Chrome de bonne foi Le Guide Facile de Google Chrome Le Guide Facile de Google Chrome Ce guide de l'utilisateur de Chrome montre tout ce que vous devez savoir sur le navigateur Google Chrome. Il couvre les bases de l'utilisation de Google Chrome qui est important pour tout débutant. Lire la suite, car il est construit sur le navigateur Chromium. Il s'agit essentiellement de la version entièrement open source de Chrome, avec certains composants propriétaires supprimés.
Étonnamment, les développeurs ont même conçu le logo pour ressembler de près à l'emblématique Chrome "Spiral".
Étonnant. eFast arrache même le logo de Google. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19 octobre 2015
Mais sur le plan du comportement, c'est très similaire à d'autres logiciels publicitaires malveillants. Il commence par désinstaller la version officielle de Chrome. Lorsque vous l'utilisez en tant que navigateur, eFast suit et insère des publicités dans chaque page Web que vous visitez. Il va détourner votre trafic de recherche, et essayer de vous diriger vers d'autres pages malveillantes.
Il s'associe également à un large éventail de formats de fichiers, peut-être pour inciter les utilisateurs à l'utiliser davantage. Ces formats sont:
- gif
- htm
- html
- jpeg
- jpg
- png
- shtml
- webp
- xht
- xhtml
Il s'associe également aux associations d'URL suivantes:
- ftp
- http
- https
- irc
- mailto
- mms
- nouvelles
- nntp
- SMS
- smsto
- tel
- urne
- webcal
Les motivations derrière le navigateur eFast sont, bien sûr, purement financières.
Les développeurs de logiciels malveillants sont massivement motivés par des raisons financières Qu'est-ce qui motive les gens à pirater les ordinateurs? Astuce: Argent Qu'est-ce qui motive les gens à pirater les ordinateurs? Astuce: Les criminels de l'argent peuvent utiliser la technologie pour gagner de l'argent. Tu sais ça. Mais vous seriez surpris de voir à quel point ils peuvent être ingénieux, du piratage et de la revente de serveurs à la reconfiguration en tant que mineurs Bitcoin lucratifs. Lire la suite, et ce n'est pas une exception. En fait, il vaudra aux créateurs un montant décent d'argent, car leurs publicités sont affichées sur chaque site que vous visitez. Le vaste potentiel de l'argent illicite est ce qui pousse les développeurs de logiciels malveillants à cibler le navigateur.
L'attraction du navigateur
Le navigateur a toujours conçu une cible attirante pour les développeurs de logiciels malveillants, simplement à cause de la façon dont nous l'utilisons et de la fréquence à laquelle nous l'utilisons. Pour beaucoup, leur expérience informatique est entièrement basée sur le navigateur.
À tout le moins, la grande majorité d'entre nous utilisent nos navigateurs Web pour le réseautage social, le divertissement et le magasinage. Au-delà de cela, beaucoup plus l'utilisent pour la productivité au bureau, avec des produits comme Google Drive ayant complètement supplanté Microsoft Office, et Gmail ayant tous remplacé Outlook et Exchange.
Parce que le navigateur occupe une place aussi prestigieuse, il présente une opportunité attrayante pour les développeurs de logiciels malveillants. À leur meilleur, ils peuvent simplement insérer des publicités indésirables et détourner le trafic de recherche, mais au pire, ils peuvent voler des mots de passe, des informations d'identification et des informations bancaires.
Google, à leur crédit, ont pris conscience des menaces qui pèsent sur leur propre navigateur et ont fait de leur mieux pour le rendre aussi sûr que possible.
Chaque onglet Chrome est étroitement lié au bac à sable et Google s'est donné beaucoup de mal pour qu'il soit extrêmement difficile d'effectuer des téléchargements en voiture. En mai de cette année, Google a pris la décision d'interdire les extensions non-Web Store. Si vous souhaitez publier votre propre extension Chrome, elle doit passer par Google et son analyse de code rigoureuse.
Comme InfoSecTaylorSwift l'a si bien signalé, Chrome est maintenant si sûr, le seul moyen d'attaquer le navigateur est de le remplacer .
Les principaux arguments à l'équipe de Chrome qu'il devient si difficile de pirater Chrome que les logiciels malveillants doivent littéralement le remplacer pour attaquer efficacement.
- SecuriTay (@SwiftOnSecurity) 16 octobre 2015
Qui est derrière?
À l'heure actuelle, nous savons que le navigateur eFast a un comportement assez horrible, et nous savons qu'il est installé subrepticement sur les ordinateurs des gens. Mais qui l'a fait?
Un bon point de départ est de regarder son certificat numérique. Cela a été signé par "CLARALABSOFTWARE", avec "clara-labs.com" répertorié comme nom de domaine associé.
Leur choix de nom n'était presque pas un accident. Non seulement cela ressemble-t-il à d'autres sociétés technologiques (comme le FAI britannique Claranet), mais cela ressemble aussi à ce que les entreprises technologiques légitimes appelleraient elles-mêmes.
J'ai ensuite interrogé leur dossier Whois. Il s'agit d'un enregistrement accessible au public indiquant à qui appartient le site et contenant leurs coordonnées. Cependant, il est possible de "désactiver" Whois en utilisant un service d'obfuscation tiers, comme WhoisGuard. Sans surprise, c'est ce qu'ils ont fait ici.
J'ai donc décidé de visiter la page d'accueil de Clara Labs (nous n'allons pas y accéder directement), pour voir si je pouvais trouver des informations identifiables. Il est à noter que lorsque vous le visitez avec Chrome, Google vous avertit de ne pas continuer plus loin, et déclare qu'il est un distributeur connu de logiciels malveillants.
Lors de ma visite, le site était soumis à de fortes tensions, grâce au trafic généré par l'immense intérêt médiatique que l'on a pu ressentir ces derniers jours.
Quand il a finalement chargé, j'étais un peu déçu. La plupart du contenu était le type de copie web fastidieuse qui est garantie rendre vos yeux glaçants. Il a surtout dénoncé "l'enrichissement de l'expérience utilisateur" à travers leur "plate-forme d'annonces intelligentes", presque comme si les gens devaient être reconnaissants .
Plus intéressant, il est livré avec des instructions simples sur la façon de désactiver les annonces intégrées:
Bien que, si vous êtes dans la position où vous l'avez installé, vous feriez mieux de le désinstaller complètement.
Il n'y avait pas beaucoup d'informations de contact sur le site. Il n'y avait rien qui dise qui dirigeait, ou dans quelle juridiction ils étaient basés. Il n'y avait aucun numéro de contact, ou adresse postale. Il y avait une adresse email, cependant. Je suis en contact et a demandé un commentaire.
Je mettrai à jour cet article s'ils me répondent, mais je ne suis pas optimiste.
Se débarrasser du navigateur eFast
Pensez-vous que vous avez été infecté? Eh bien, il y a un test simple. Tapez "chrome: // chrome" dans la barre d'adresse. Si vous voyez quelque chose qui dit "About eFast", alors vous avez certainement été infecté.
Si ce n'est pas le cas, mais que vous observez toujours un comportement étrange, votre problème peut provenir d'une autre source. Télécharger un programme anti-malware, et faire une enquête. Nous avons aussi quelques conseils génériques sur la façon de traiter les navigateurs piratés Comment nettoyer un navigateur Web piraté Comment nettoyer un navigateur Web piraté Quoi de plus frustrant que de lancer Firefox seulement pour voir que votre page d'accueil a été modifiée sans votre autorisation? Peut-être que vous avez même une nouvelle barre d'outils brillante. Ces choses sont toujours utiles, non? Faux. En savoir plus, et plus précisément comment un-hijack Chrome 3 étapes essentielles pour se débarrasser des pirates de l'air Chrome en quelques minutes 3 étapes essentielles pour se débarrasser des pirates de Chrome en quelques minutes Avez-vous déjà ouvert votre navigateur de choix et a été accueilli page ou une barre d'outils disgracieuse collée en haut de la page? Restaurez votre navigateur pour obtenir une forme optimale. Lire la suite .
Si vous êtes infecté par eFast, vous devriez télécharger MalwareBytes (que nous avons d'abord couvert en 2009 Arrêter et supprimer les logiciels espions avec Malwarebytes pour Windows Arrêter et supprimer les logiciels espions avec Malwarebytes pour Windows Il peut ne pas être aussi chargé que Spybot Search et Destroy, qui a un nombre ridicule d'outils, mais c'est une alternative très légère avec une bonne couverture des spywares. Les développeurs de ce sont ceux qui ont découvert eFast, et leur anti-virus a les définitions correctes pour l'enlever.
Avez-vous été infecté par eFast? Connaissez quelqu'un qui était? Parlez-moi de cela dans les commentaires ci-dessous.
Crédits image: les mains de Red Devil par Alex Malikov via Shutterstock