最近网络流传着一个虚假的谷歌Chrome浏览器,被攻击者利用发送广告并将用户重定向至其它恶意软件感染点。
这个虚假浏览器名为eFast,PCRisk和Malwarebytes的研究人员表示,与其它app安装后会感染用户计算机。
这种PUP基于Chromium开源浏览器,也就是Chrome浏览器构建也在用的基础代码之上。eFast在安装期间,会删除所有Chrome的快捷方式,并且用自己的替代,虽然看似并无区别,但实际上有些微不同之处。另外,许多热门站点的附加快捷方式如YouTube、Amazon、Facebook、维基百科、Hotmail等的图标被放在桌面上,目的是为了打开eFast浏览器。
eFast劫持受感染系统的文件和URL关联
Malwarebytes还发现这个浏览器更改了操作系统设置、eFast更改了默认文件关联和URL类型,这样无论用户何时点击操作系统内的HTML、GIF、或JEPG文档,eFast都会被使用而不是先前设置的应用。
在本文书写之时,研究人员检测到eFast将自己检测为以下文件类型的默认应用:HTM、HTML、SHTML、XHTML、XHT、WEBP、PNG、JPG、JPEG、GIF、和 PDF。此外,带有以下协议的URL也在eFast中为默认打开状态:HTTP、HTTPS、FTP、IRC、MAILTO、MMS、SMS、SMSTO、TEL、NEWS、NNTP、URN、和WEBCAL。
eFast被用于向用户传播广告软件和广告
一旦用户被诱骗使用eFast,这个浏览器的恶意软件代码就会将广告注入正常的网页,甚至将用户重定向至含有其它恶意软件的站点。另外,在安装eFast期间,predm.exe文件也会被放在用户的程序文件文件夹。Predm.exe文件目前被VirusTotal上的44款杀毒引擎检测为被感染。
另外,两家机构PCRisk和Malwarebytes的专家都提供了如何从被感染计算机删除eFast的指南。