Expertos en seguridad de Malwarebytes han analizado una nueva pieza de malware que intenta eliminar Chrome y reemplazarlo con una versión falsa que permite a los atacantes secuestrar varias asociaciones de archivos incluyendo HTML, JPG, PDF y GIF, así como las asociaciones de direcciones URL, incluyendo HTTP, HTTPS y MAILTO.
"En este episodio echamos un vistazo a un secuestrador que instala un nuevo navegador en lugar de secuestrar uno ya existente. Incluso intenta reemplazar Chrome si ya está instalado. Para asegurarse de que vas a utilizar su nuevo navegador, eFast se hace el navegador por defecto y se hace cargo de algunas asociaciones de archivos." Señala la entrada de blog publicada por Malwarebytes.
El navegador eFast se basa en el software de código abierto de Google Chromium, su apariencia no es distinta de la legítima Google Chrome, de esta manera no levanta sospechas en las víctimas.
El nuevo malware pertenece a la familia de Adware, es apodado "Navegador eFast" y es capaz de realizar las siguientes acciones:
- Genera anuncios emergentes, cupones, pop-under y otros anuncios similares en tu pantalla
- Colocar otros anuncios en tus páginas web
- Redirigir a sitios web maliciosos que contienen contenidos falsos
- Rastrea tus movimientos en la web para ayudar a los vendedores nefastos a envíar más basura para generar de ingresos
El instalador del navegador eFast elimina todos los accesos directos legítimos de Google Chrome en la barra de tareas y escritorio de la victima. Sustituye a cualquier acceso directo a sitios web de Chrome con sus propias versiones,
"El instalador de eFast también elimina todos los accesos directos a Google Chrome en la barra de tareas y el escritorio", escribió Malwarebytes, "muy probablemente con la esperanza de confundir al usuario con sus iconos muy similares."
El navegador eFast malicioso es desarrollado por una empresa que se llama Clara Labs, que es el autor de los navegadores similares conocidas como BoBrowser, Unico, y Tortuga.
Las víctimas suelen descarga el navegador eFast lanzando instaladores de software de fuentes no fiables en Internet.
Los expertos también observaron que el Navegador eFast trae consigo un archivo llamado predm.exe en la carpeta %Archivos de programa%\efas_en_110010107. Curiosamente las propiedades del ejecutable revelan que tiene una fecha diferida por una semana antes de la fecha de instalación y que la "Descripción del archivo" es "setup AA". Escaneando los archivos con VirusTotal es posible verificar que se trata de una variante del malware Eorezo/Tuto4PC.
Si fuiste infectado, pasate por este tutorial para eliminarlo.
