Conozca eFast: este malware reemplaza su navegador con adware

Anuncio

El malware que se dirige al navegador no es nada nuevo. Pero el malware que reemplaza ¿un navegador ya existente con uno diseñado para rastrear movimientos en línea, secuestrar el tráfico de búsqueda y llenar cada página con anuncios no deseados? Sí, eso es bastante interesante.

El navegador eFast fue descubierto por el equipo de MalwareBytes hace unos días, y hace todo lo anterior, y más.

Tirando de un eFast One

Quizás lo peor de eFast Browser es que, a menos que sea especialmente observador, es posible que ni siquiera se dé cuenta de que está allí, ya que se necesita mucho esfuerzo para camuflarse.

Para empezar, se ve y se siente como el navegador Chrome de buena fe La guía fácil para Google ChromeEsta guía del usuario de Chrome muestra todo lo que necesita saber sobre el navegador Google Chrome. Cubre los conceptos básicos del uso de Google Chrome que es importante para cualquier principiante. Lee mas , como está construido en el navegador Chromium. Esta es esencialmente la versión de código abierto de Chrome, con algunos componentes patentados eliminados.

Sorprendentemente, los desarrolladores incluso han diseñado el logotipo para que se parezca mucho al icónico "espiral" de Chrome.

Asombroso. eFast incluso arranca el logotipo de Google. pic.twitter.com/3oFF9DIo3K

- Matthew Hughes (@matthewhughes) 19 de octubre de 2015

Pero en cuanto al comportamiento, es muy similar a otros adware maliciosos. Comienza desinstalando la versión oficial de Chrome. Cuando lo usa como navegador, eFast rastreará e insertará anuncios en cada página web que visite. Secuestrará su tráfico de búsqueda e intentará dirigirlo a otras páginas maliciosas.

También se asocia con una amplia variedad de formatos de archivo, tal vez para impulsar a los usuarios a usarlo más. Estos formatos son:

• gif
• htm
• html
• jpeg
• jpg
• pdf
• png
• shtml
• webp
• xht
• xhtml

También se asocia con las siguientes asociaciones de URL:

• ftp
• http
• https
• irc
• mailto
• mms
• Noticias
• nntp
• SMS
• smsto
• tel
• urna
• webcal

Las motivaciones detrás del navegador eFast son, por supuesto, puramente financieras.

Los desarrolladores de malware son abrumadoramentemotivado por razones financieras ¿Qué motiva a las personas a hackear computadoras? Pista: dineroLos delincuentes pueden usar la tecnología para ganar dinero. Tú lo sabes. Pero se sorprendería de lo ingeniosos que pueden ser, desde piratear y revender servidores hasta reconfigurarlos como mineros lucrativos de Bitcoin. Lee mas , Y esto no es la excepción. De hecho, puede ganar a los fabricantes una cantidad decente de dinero en efectivo, ya que sus anuncios se muestran en cada sitio web que visita. El gran potencial para ganar dinero ilícitamente es lo que impulsa a los desarrolladores de malware a apuntar al navegador.

La atracción del navegador

El navegador siempre ha pintado un objetivo atractivo para los desarrolladores de malware, simplemente por cómo lo usamos y Con qué frecuencia lo usamos Para muchos, su experiencia informática se basa totalmente en el navegador.

Por lo menos, la gran mayoría de nosotros usamos nuestros navegadores web para redes sociales, entretenimiento y compras. Más allá de eso, muchos más lo usan para la productividad de la oficina, con productos como Google Drive que han suplantado completamente a Microsoft Office, y Gmail que ha reemplazado a Outlook y Exchange.

Debido a que el navegador ocupa una posición tan estimada, presenta una oportunidad atractiva para los desarrolladores de malware. En su forma más benigna, simplemente pueden insertar anuncios no deseados y secuestrar el tráfico de búsqueda, pero en el peor de los casos, pueden robar contraseñas, credenciales e información bancaria.

Google, para su crédito, se ha dado cuenta de las amenazas planteadas a su propio navegador y ha hecho todo lo posible para que sea lo más seguro posible.

Cada pestaña de Chrome está totalmente protegida, y Google se ha esforzado mucho para que sea extremadamente difícil que se realicen descargas automáticas. En mayo de este año, Google tomó la decisión de prohibir las extensiones que no son de la Tienda Web. Si desea publicar su propia extensión de Chrome, debe pasar por Google y su riguroso análisis de código.

Como InfoSecTaylorSwift señaló tan notoriamente, Chrome ahora es tan seguro, que la única forma de atacar el navegador es reemplazar eso.

Apoyos importantes para el equipo de Chrome que se está volviendo tan difícil secuestrar Chrome que el malware literalmente tiene que reemplazarlo para atacar de manera efectiva.

- SecuriTay (@SwiftOnSecurity) 16 de octubre de 2015

¿Quién está detrás de esto?

Por ahora, sabemos que el navegador eFast viene con un comportamiento bastante horrible, y sabemos que se está instalando subrepticiamente en las computadoras de las personas. Pero quien realmente lo hizo?

Un buen punto de partida es mirar su certificado digital. Esto ha sido firmado por "CLARALABSOFTWARE", con "clara-labs.com" como el nombre de dominio asociado.

Su elección de nombre casi con certeza no fue un accidente. No solo se parece mucho a otras compañías tecnológicas (como el ISP Claranet del Reino Unido), sino que también suena como lo que se llamaría una compañía tecnológica legítima.

Luego pregunté su registro Whois. Este es un registro de acceso público de quién es el propietario del sitio y contiene su información de contacto. Sin embargo, es posible "excluirse" de Whois utilizando un servicio de ofuscación de terceros, como WhoisGuard. Como era de esperar, esto es lo que han hecho aquí.

Entonces, decidí visitar la página de inicio de Clara Labs (no vamos a vincularla directamente), para ver si puedo encontrar alguna información identificable. Vale la pena señalar que cuando lo visita con Chrome, Google le advierte que no continúe más y afirma que es un distribuidor conocido de malware.

Cuando lo visité, el sitio estaba bajo mucha presión, gracias al tráfico generado por el inmenso interés de los medios que se ha visto en los últimos días.

Cuando finalmente se cargó, estaba un poco decepcionado. La mayor parte del contenido era el tipo de copia web tediosa que garantiza que sus ojos se deslumbrarán. Sobre todo habló sobre "enriquecer la experiencia del usuario" a través de su "plataforma de anuncios inteligentes", casi como si las personas deberían ser agradecido.

Más interesante, viene con instrucciones simples sobre cómo deshabilitar los anuncios integrados:

Sin embargo, si está en el lugar donde lo instaló, sería mucho mejor desinstalarlo por completo.

No había mucha información de contacto en el sitio. No había nada que dijera quién lo estaba ejecutando o en qué jurisdicción se basaban. No hubo número de contacto ni dirección postal. Ahí fue una dirección de correo electrónico, sin embargo. Me puse en contacto y pedí un comentario.

Actualizaré esta publicación si responden, pero no me estoy haciendo ilusiones.

Deshacerse del navegador eFast

¿Crees que has sido infectado? Bueno, hay una prueba simple. Escriba "chrome: // chrome" en la barra de direcciones. Si ve algo que dice "Acerca de eFast", definitivamente se ha infectado.

Si no está allí, pero aún observa un comportamiento extraño, su problema podría provenir de otra fuente. Descargue un programa antimalware e investigue un poco. También tenemos algunos consejos genéricos sobre cómo tratar con navegadores secuestrados Cómo limpiar un navegador web secuestrado¿Qué es más frustrante que iniciar Firefox solo para ver que su página de inicio ha cambiado sin su autorización? Tal vez incluso tengas una nueva barra de herramientas brillante. Esas cosas siempre son útiles, ¿verdad? Incorrecto. Lee mas y específicamente cómo quitar el secuestro de Chrome 3 pasos esenciales para deshacerse de los secuestradores de Chrome en minutos¿Alguna vez ha abierto su navegador de elección y ha sido recibido con una página de inicio de aspecto extraño o una barra de herramientas antiestética pegada en la parte superior de la página? Restaure su navegador a la mejor forma. Lee mas .

Si está infectado con eFast, sería aconsejable descargar MalwareBytes (que nosotros cubierto por primera vez en 2009 Detener y eliminar spyware con Malwarebytes para WindowsPuede que no tenga tantas funciones como Spybot Search and Destroy, que tiene una cantidad ridícula de herramientas, pero es una alternativa muy ligera con una buena cobertura de spyware. Lee mas ). Los desarrolladores de esto fueron los que descubrieron eFast, y su antivirus tiene las definiciones correctas para eliminarlo.

¿Fuiste infectado por eFast? ¿Conoces a alguien que era? Cuéntame sobre esto en los comentarios a continuación.

Créditos de imagen:Manos del diablo rojo por Alex Malikov a través de Shutterstock