eFast – шкідливий псевдобраузер

Як повідомляє PCWorld, дослідники виявили нову програму для примусового показу реклами, яка встановлюється як браузер і навіть намагається замінити Google Chrome, якщо він встановлений в системі.

Проведений в PCRisk і MalwareBytes аналіз показав, що даний псевдобраузер створений на основі відкритого ПЗ Chromium, тому з оформлення він схожий з Google Chrome, і помітити підміну можна, лише відкривши довідку «Про програму».

Влаштувавшись в системі, eFast привласнює собі статус дефолтного браузера і замикає на себе деякі файлові асоціації (настройки, що визначають, в якій програмі відкрити файл з конкретним розширенням), такі як HTML, JPG, PDF, PNG, GIF. Більш того, він також захоплює URL-асоціації, щоб всі посилання, доступні за FTP, HTTP, HTTPS, IRC, MMS, MAILTO тощо., Відкривалися відразу в новому додатку. 

  Щоб зовсім усунути Chrome від робочих процесів, інсталятор eFast видаляє його іконки з панелі завдань і з робочого столу. Мабуть, автори зловредів сподівалися, що нових ікон з коротким шляхом на YouTube, Amazon, Facebook, Hotmail і т.п. цілком достатньо, щоб ввести користувача в оману: адже логотипи eFast і Chrome на перший погляд дійсно схожі. Основним призначенням eFast є показ спливаючих банерів і контекстної реклами поверх сторінок, відвідуваних користувачем.

Як виявив аналіз, деякі з цих рекламних оголошень прив’язані до комерційних сайтів, інші містять редирект на потенційно небезпечні сторінки. eFast також збирає інформацію про часто відвідуваних ресурсах і віддає її на бік. Примітно, що на сайті Clara Labs, творця цього додатка, є декларація конфіденційності, однак, коли репортер PCWorld спробував завантажити її в Chrome, йому відобразилося попередження про заражену сторінці.

Поширюється eFast, як і багато інших потенційно небезпечні програми, в комплекті з легальної програмою, зазвичай завантажується з неофіційних джерел. Дослідники з PCRisk підкреслюють, що це далеко не перший зловредів, замаскований під веб-браузер, цей же трюк використовували автори Unico Browser, CrossBrowse, Tortuga, BoBrowser, MyBrowser. Всі ці додатки позиціонуються як легітимні, з поліпшеними функціями веб-серфінгу, однак жодне з них ці обіцянки не виправдовує. Експерти MalwareBytes завантажили свій зразок eFast на VirusTotal і виявили, що більшість сучасних антивірусів визначають його як adware сімейства Eorezo, рідше – як варіант Tuto4PC. 

Ссылка на основную публикацию