نفوذ موذیانه eFast

بدافزارهایی که مرورگر را هدف می‌گیرند چیز جدیدی نیستند، اما بدافزاری که مرورگری را که برای ردیابی فعالیت‌های آنلاین، سرقت ترافیک جست‌وجو و پر کردن صفحات با تبلیغات ناخواسته طراحی شده باشد، جایگزین مرورگر موجود کند، جدید و جالب است.

eFast Browser که به‌تازگی توسط تیم MalwareBytes کشف شده، علاوه‌بر تمام این کارها از عهده خرابکاری‌های دیگر هم برمی‌آید.

بدافزار پنهان

شاید بدترین چیز درباره eFast Browser این باشد که ممکن است حتی متوجه حضور آن نشوید، چون این بدافزار به‌شدت تلاش می‌کند خود را پنهان کند. از نظر تازه‌کارها، این مرورگر در ظاهر و عملکرد شبیه مرورگر کروم است، به‌خصوص این‌که روی Chromium Browser ساخته شده است.

در حالی ‌که eFast در اصل نسخه کد ‌باز کروم است، با این تفاوت که برخی مولفه‌های اختصاصی از آن حذف شده‌اند.

جالب این‌که حتی خود توسعه‌دهندگان هم لوگوی آن را به صورتی طراحی کرده‌اند که شباهت زیادی به لگوی «مارپیچ» نمادین کروم دارد.

از سوی دیگر، رفتار آگاهانه این مرورگر بسیار شبیه دیگر آگهی‌افزارهای خرابکار است. eFast با لغو نصب نسخه رسمی کروم شروع به کار می‌کند و وقتی آن را به‌عنوان مرورگر استفاده می‌کنید.

آگهی‌های تبلیغاتی را شناسایی کرده و آنها را در تک‌تک صفحات وبی که بازدید می‌کنید، درج می‌کند. این اپ ترافیک جست‌وجویتان را هم سرقت کرده و تلاش می‌کند شما را به دیگر صفحه‌های خرابکار هدایت کند.

eFast همچنین با انواع مختلفی از فرمت‌های فایل همکاری می‌کند تا شاید به این ترتیب کاربران را به استفاده بیشتر از خود ترغیب کند. این فرمت‌ها شامل gif، htm، html، jpeg، jpg، pdf، png shtml، webp، xht و xhtml می‌شود.

این اپ با این URLها هم همراه می‌شود: ftp http، https، irc، mailto، mms، news nntp، sms، smsto، tel، urn و webcal.

انگیزه‌های پشت مرورگر eFast فقط مالی هستند. توسعه‌دهندگان بدافزارها به شدت تحت تأثیر مسائل مالی قرار دارند و این بدافزار هم از قاعده مستثنا نیست.

در واقع، برنامه تلاش می‌کند پول هنگفتی را نصیب سازندگان خود کند، چون آگهی‌‌های آنها در تمام وبسایت‌هایی که کاربر بازدید می‌کند، درج می‌شود.

ظرفیت بالای پولسازی‌ (گردش مالی) غیرقانونی همان چیزی است که توسعه‌دهندگان بدافزارها را به هدف گرفتن مرورگرها تشویق می‌کند.

جذابیت‌های مرورگر

مرورگرها همیشه به دلیل نحوه و تعدد دفعات استفاده از آنها، هدف اغواکننده‌ای برای توسعه‌دهندگان سخت‌افزارها بوده‌اند. تجربه محاسباتی بسیاری از افراد به مرورگرهایشان وابسته است.

تعداد زیادی از ما از مرورگرهای وب خود حداقل برای کار با شبکه‌های اجتماعی، سرگرمی و خرید استفاده می‌کنیم.

تعداد دیگری هم از آن برای بهره‌وری دفترهای کاری استفاده می‌کنند، ‌طوری که محصولاتی مانند Google Drive به کل در حال جایگزینی مایکروسافت آفیس است و جیمیل هم تقریبا به طور کامل جایگزین Outlook و Exchange شده ‌است.

جایگاه مهم و کلیدی مرورگرها، آنها را به فرصت جذابی هم برای توسعه‌دهندگان هم بدافزارها بدل کرده است.

بدافزارها در بهترین حالت فقط می‌توانند تبلیغات ناخواسته را درج کرده و ترافیک جست‌وجو را سرقت کنند، اما در بدترین حالت، قادرند حتی رمزهای عبور، مجوزها و اطلاعات بانکی را نیز سرقت کنند.

خوشبختانه گوگل، تهدیدات و خطرات وارده به مرورگر خود را شناسایی کرده و برای ایمن‌سازی حداکثری آن نهایت تلاش خود را به کار گرفته است.

مثلا تب‌های کروم از نظر امنیتی به‌شدت محافظت شده‌اند و گوگل تلاش کرده دانلودهای ناخواسته نرم‌افزارهای رایانه‌ای از اینترنت را مشکل کند.

خرداد امسال، گوگل تصمیم گرفت انتشار افزونه‌ها را از هر جایی غیر از Web Store خود متوقف کند. بنابراین اگر بخواهید افزونه‌های کروم خود را منتشر کنید، باید از هفت‌خوان گوگل و آنالیز کد سختگیرانه آن رد شوید.

کروم اکنون چنان ایمن شده که تنها راه برای حمله به این مرورگر، جایگزینی آن است.

چه کسی پشت eFast است؟

تا اینجا می‌‌دانیم eFast Browser رفتار خطرناکی دارد و به صورت مخفیانه روی رایانه کاربرها نصب می‌شود؛ اما چه کسی سازنده واقعی این مروگر است؟

یک نقطه شروع خوب برای پیدا کردن پاسخ این پرسش، بررسی گواهی دیجیتال آن است. این گواهی‌ به امضای CLARALABSOFTWARE رسیده و clara-labs.com هم به‌عنوان نام دامنه مربوط به آن ثبت شده است.

انتخاب این نام بی‌شک تصادفی نبوده است. این اسم نه تنها شباهت زیادی به دیگر شرکت‌های فناوری (مانند UK ISP Claranet) دارد، از نظر نامگذاری هم از سنت رایج در شرکت‌های قانونی فناوری تقلید می‌کند.

Whois آنها نیز قابل دسترس برای عموم است و اطلاعاتی درباره مالک سایت و اطلاعات تماس آنها را دارد.

با وجود این می‌توان با استفاده از یک سرویس مخفی طرف ثالث مانند WhoisGuard خود را از جرگه Whois خارج کرد؛ جالب این‌که آنها این کار را انجام داده‌اند. برای اطلاعات بیشتر می‌توان به صفحه اصلی Clara Labs مراجعه کرد.

فراموش نکنید وقتی از کروم برای بازدید از این سایت استفاده می‌کنید، گوگل به شما هشدار توقف می‌دهد و آن را یکی از توزیع‌کنند‌ه‌های شناخته شده بدافزار معرفی می‌کند.

زمانی که ما وارد سایت شدیم، به‌دلیل ترافیک بالای بازدید رسانه‌ها از آن، ظرف چند روز گذشته کیفیت مناسبی نداشت.

وقتی هم که بالاخره بارگذاری شد، تا حدی ما را متعجب کرد. بیشتر محتوا از نوع محتواهای خسته‌کننده‌ کپی شده از وب بود که جز میخکوب کردن چشمان کاربر روی خود فایده‌ای ندارد.

در تمام صفحه روی عبارت «غنی‌سازی تجربه کاربر» از طریق «پلتفرم تبلیغات هوشمند» مانور داده شده بود، گویا این تنها روش جلب بازدیدکننده بود.

جالب‌تر این‌که، برای غیرفعال‌سازی آگهی‌های تبلیغاتی درون‌سازی شده فقط چند دستورالعمل ساده گنجانده شده بود. بنابراین، اگر آنها را به صورت ناخواسته نصب کرده‌اید، چاره‌ای جز لغو نصب‌ کلی آنها ندارید.

در این سایت اطلاعات تماس زیادی هم وجود ندارد. هیچ چیزی در این مورد که چه کسی مجری این اپ است یا چه مجوز قانونی‌ دارد، به چشم نمی‌خورد.

هیچ شماره تماس یا آدرس پستی هم وجود ندارد و فقط یک نشانی ایمیل در آن دیده می‌شود که ما با ایمیل داده شده تماس گرفتیم و از آنها نظر خواستیم، اما تا زمان تهیه این متن هیچ پاسخی از شرکت دریافت نشد.

خلاص شدن از شر eFast

اگر فکر می‌کنید سیستم‌تان آلوده شده است، با یک آزمایش ساده می‌توانید از آن مطمئن شوید. عبارت chrome://chrome را در نوار آدرس مرورگر کروم تایپ کنید. اگر پاسخی مثل About eFast دریافت کنید، یعنی حتما آلوده شده‌اید.

اگر هم پاسخی دریافت نکنید، اما همچنان رفتار عجیبی را از سیستم خود مشاهده کنید، احتمالا مشکل از جای دیگری است.

یک برنامه ضد بدافزار را دانلود کنید و در سیستم‌تان گشت و گذار کنید. اگر آلوده eFast شده باشید، بهتر است MalwareBytes را دانلود کنید.

توسعه‌دهندگان این برنامه همان افرادی هستند که eFast را کشف کرده‌اند و به همین دلیل آنتی‌ویروس آنها تعریف‌های درستی برای حذف آن دارد.

منبع: جام جم کلیک

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *