El malware que apunta al navegador no es nada nuevo. ¿Pero el malware que reemplaza un navegador ya existente con uno diseñado para rastrear los movimientos en línea, secuestrar el tráfico de búsqueda y llenar cada página con anuncios no deseados? Sí, eso es bastante interesante.
El navegador eFast fue descubierto por el equipo de MalwareBytes hace unos días, y hace todo lo anterior, y más .
Tirando de un eFast One
Quizás lo peor de eFast Browser es que, a menos que seas especialmente observador, es posible que ni siquiera notes que está allí, ya que se necesita mucho esfuerzo para camuflarse.
Para empezar, se ve y se siente como el navegador Chrome de buena fe. La guía fácil de Google Chrome. La guía fácil para Google Chrome. Esta guía del usuario de Chrome muestra todo lo que necesita saber sobre el navegador Google Chrome. Cubre los aspectos básicos del uso de Google Chrome que es importante para cualquier principiante. Lea más, ya que está construido en el navegador Chromium. Esta es esencialmente la versión de código abierto de Chrome, con algunos componentes patentados eliminados.
Sorprendentemente, los desarrolladores incluso han diseñado el logotipo para que se parezca mucho a la icónica "espiral" de Chrome.
Asombroso. eFast incluso arranca el logotipo de Google. pic.twitter.com/3oFF9DIo3K
- Matthew Hughes (@matthewhughes) 19 de octubre de 2015
Pero en lo que respecta al comportamiento, es muy similar a otros programas publicitarios maliciosos. Comienza por desinstalar la versión oficial de Chrome. Cuando lo utiliza como un navegador, eFast rastreará e insertará anuncios en cada página web que visite. Secuestrará el tráfico de búsqueda e intentará dirigirte a otras páginas maliciosas.
También se asocia con una amplia mezcla heterogénea de formatos de archivo, tal vez para impulsar a los usuarios a usarlo más. Estos formatos son:
- GIF
- htm
- html
- jpeg
- jpg
- png
- shtml
- webp
- xht
- xhtml
También se asocia con las siguientes asociaciones de URL:
- ftp
- http
- https
- irc
- mailto
- mms
- Noticias
- nntp
- SMS
- smsto
- teléfono
- urna
- webcal
Las motivaciones detrás del navegador eFast son, por supuesto, puramente financieras.
Los desarrolladores de malware están abrumadoramente motivados por razones financieras. ¿Qué motiva a las personas a piratear computadoras? Sugerencia: dinero ¿qué motiva a las personas a piratear computadoras? Sugerencia: dinero Los delincuentes pueden usar la tecnología para ganar dinero. Tú lo sabes. Pero te sorprendería lo ingeniosos que pueden ser, desde hackear y revender servidores hasta reconfigurarlos como lucrativos mineros de Bitcoin. Lea más, y esta no es una excepción. De hecho, les permite ganar una buena cantidad de dinero en efectivo, ya que sus anuncios se muestran en cada sitio web que visita. El vasto potencial para hacer dinero ilícito es lo que impulsa a los desarrolladores de malware a enfocarse en el navegador.
La atracción del navegador
El navegador siempre ha pintado un objetivo tentador para los desarrolladores de malware, simplemente por cómo lo usamos y con qué frecuencia lo usamos. Para muchos, su experiencia informática se basa completamente en el navegador.
Por lo menos, la gran mayoría de nosotros usamos nuestros navegadores web para redes sociales, entretenimiento y compras. Más allá de eso, muchos más lo usan en cuanto a la productividad de la oficina, con productos como Google Drive que ha reemplazado a Microsoft Office por completo, y Gmail casi ha reemplazado a Outlook y Exchange.
Debido a que el navegador tiene una posición tan estimada, presenta una atractiva oportunidad para los desarrolladores de malware. En su forma más benigna, pueden simplemente insertar anuncios no deseados y secuestrar el tráfico de búsqueda, pero en el peor de los casos, pueden robar contraseñas, credenciales e información bancaria.
Google, para su crédito, se ha dado cuenta de las amenazas que representan para su propio navegador y ha hecho todo lo posible para que sea lo más seguro posible.
Cada pestaña de Chrome está muy protegida, y Google se ha esforzado mucho para que sea extremadamente difícil que se lleven a cabo descargas directas. En mayo de este año, Google tomó la decisión de prohibir las extensiones de la Tienda no Web. Si desea publicar su propia extensión de Chrome, debe pasar por Google y su riguroso análisis de código.
Como señaló tan notablemente InfoSecTaylorSwift, Chrome ahora es tan seguro, la única forma de atacar el navegador es reemplazarlo .
Los principales accesorios para el equipo de Chrome se están haciendo tan difíciles de secuestrar a Chrome que el malware, literalmente, tiene que _sustituirlo_ para atacar de manera efectiva.
- SecuriTay (@SwiftOnSecurity) 16 de octubre de 2015
¿Quién está detrás?
Por ahora, sabemos que el navegador eFast viene con un comportamiento bastante horrendo, y sabemos que se está instalando clandestinamente en las computadoras de las personas. ¿Pero quién realmente lo hizo?
Un buen punto de partida es mirar su certificado digital. Esto ha sido firmado por "CLARALABSOFTWARE", con "clara-labs.com" listado como el nombre de dominio asociado.
Su elección de nombre casi seguro no fue un accidente. No solo se parece mucho a otras compañías tecnológicas (como el ISP del Reino Unido, Claranet), sino que también suena como lo que se llamaría una empresa tecnológica legítima.
Luego consulté su registro de Whois. Este es un registro de acceso público de quién es el propietario del sitio y contiene su información de contacto. Sin embargo, es posible "excluirse" de Whois utilizando un servicio de ofuscación de terceros, como WhoisGuard. Como era de esperar, esto es lo que han hecho aquí.
Por lo tanto, decidí visitar la página principal de Clara Labs (no vamos a vincularla directamente) para ver si puedo encontrar información identificable. Vale la pena señalar que cuando lo visitas con Chrome, Google te advierte que no continúes y dice que es un conocido distribuidor de malware.
Cuando lo visité, el sitio estaba bajo mucha tensión, gracias al tráfico generado por el inmenso interés de los medios que se ha visto en los últimos días.
Cuando finalmente se cargó, estaba un poco decepcionado. La mayor parte del contenido era el tipo de copia web tediosa que garantiza que tus ojos se vuelvan vidriosos. En su mayoría se lamentó sobre "enriquecer la experiencia del usuario" a través de su "plataforma de anuncios inteligentes", casi como si la gente estuviera agradecida .
Más interesante aún, viene con instrucciones simples sobre cómo deshabilitar los anuncios incorporados:
Aunque, si estás en el lugar donde lo tienes instalado, sería mejor que lo desinstales por completo.
No había mucha información de contacto en el sitio. No había nada que dijera quién lo dirigía ni en qué jurisdicción se basaba. No había un número de contacto ni una dirección postal. Sin embargo, había una dirección de correo electrónico. Me contacté y pedí un comentario.
Actualizaré esta publicación si responden, pero no estoy ilusionándome.
Deshacerse del navegador eFast
¿Crees que has sido infectado? Bueno, hay una prueba simple. Escriba "chrome: // chrome" en la barra de direcciones. Si ve algo que dice "Acerca de eFast", entonces definitivamente ha sido infectado.
Si no está allí, pero todavía estás viendo un comportamiento extraño, tu problema podría provenir de otra fuente. Descargue un programa anti-malware y realice una investigación. También tenemos algunos consejos genéricos sobre cómo tratar con navegadores secuestrados Cómo limpiar un navegador web secuestrado Cómo limpiar un navegador web secuestrado ¿Qué es más frustrante que iniciar Firefox solo para ver que su página de inicio ha sido modificada sin su autorización? Tal vez incluso tienes una nueva barra de herramientas brillante. Esas cosas siempre son útiles, ¿verdad? Incorrecto. Lea más y específicamente cómo deshabilitar Chrome 3 pasos esenciales para deshacerse de los secuestradores de Chrome en minutos 3 pasos esenciales para deshacerse de los secuestradores de Chrome en minutos ¿Alguna vez ha abierto su navegador de elección y ha sido recibido con un comienzo de aspecto extraño? página o una barra de herramientas antiestética pegado a la parte superior de la página? Restaure su navegador a la forma de punta. Lee mas .
Si está infectado con eFast, sería bueno que descargue Malwarebytes (que cubrimos por primera vez en 2009 Detenga y elimine el software espía con Malwarebytes para Windows Detenga y elimine el software espía con Malwarebytes para Windows Puede que no sea tan cargado de funciones como Spybot Search y Destroy, que tiene una cantidad ridícula de herramientas, pero es una alternativa muy liviana con buena cobertura de spyware. Más información). Los desarrolladores de esto fueron los que descubrieron eFast, y su antivirus tiene las definiciones correctas para eliminarlo.
¿Fuiste infectado por eFast? ¿Conoces a alguien que fuera? Cuéntame sobre esto en los comentarios a continuación.
Créditos de las imágenes: las manos de Red Devil por Alex Malikov a través de Shutterstock