Специалисты компании Malwarebytes обнаружили весьма интересный образчик вредоносного ПО. Малварь, получившая имя eFast Browser, стремится подменить собой весь браузер жертвы вообще, вместо того, чтобы заражать существующий.
Первым проблему заметил исследователь, известный как Swift, опубликовав сообщение у себя в твиттере:
Rather than hijack Chrome (which is getting harder), adware deletes Chrome and installs own Chromium-based browser https://t.co/nhFvhI3ROu
— no (@SwiftOnSecurity) October 16, 2015
На первый взгляд eFast Browser, это обычный представитель adware, способный на уже привычные пакости: на экране то и дело всплывают рекламные баннеры, нежелательная реклама появляется на страницах сайтов, пользователя всеми правдами и неправдами пытаются заставить перейти на вредоносный ресурс. И, конечно, малварь следит за каждым шагом жертвы, чтобы продать нелегальным рекламщикам побольше ценных данных о пользователе, дабы те могли показывать ему еще больше рекламы.
Следующими о проблеме рассказали ИБ-специалисты компании Malwarebytes, и они заметили интересную вещь. eFast Browser не пытается взломать браузер пользователя, он пытается заменить его. По данным исследователей, вредонос удаляет с зараженной машины Chrome, занимает его место и подменяет рекламными ссылками все, что только сможет. При этом иконка браузера и его дизайн выглядят в точности, как настоящий Chrome. Это и не удивительно, ведь малварь базируется на open source движке Chromium, так что подделка весьма качественная. Судя по всему, браузер сделан компанией Clara Labs, известной похожими браузерами BoBrowser, Tortuga и Unico.
Swift отмечает, что со стороны авторов малвари, это вполне разумный ход. Chrome в последнее время закручивает гайки все туже, в частности, не позволяет устанавливать сторонние расширения, поступившие не из официального магазина Google. В схожем направлении движутся браузеры Mozilla Firefox и Microsoft Edge. В такой ситуации полностью заменить браузер проще, нежели ломать настоящий.
Chrome really lead the way to the new paradigm of how to do extensibility correctly. Firefox/Edge is almost literally working on copying it.
— no (@SwiftOnSecurity) October 16, 2015
По данным PCrisk, eFast распространяется преимущественно в комплекте с различным бесплатным софтом с подозрительных веб-сайтов. Случайно подцепить эту заразу весьма затруднительно, а удалить, к счастью, легко – как любую другую программу.
Фото: Tsahi Levent-Levi@flickr