恶意广告程式遍布网络世界,然而随着普遍用户的安全意识提高,一般的恶意广告程式已难以得逞。不过近日就有 Swift On Security 的资讯安全人员,发现一款名为 eFast Browser 的恶意程式,发觉该程式一反传统伪装成浏览器延伸套件植入的方式,直接化身为浏览器劫持系统档案关联,让使用者在不知不觉中落入它的圈套。
传统的恶意广告程式,通常会伪装成正规的浏览器套件,一旦成功植入,就会不断在用户浏览网站时弹出或加插广告,企图令用户感染更多恶意程式,从而追踪用户的浏览纪录资料,贩卖换取利益。
恶意程式系出同源,图示界面功能九成相似
eFast Browser 顾名思义,就是舍弃传统方式,企图直接劫持并取代用户的预设浏览器来达到目的。Malwarebytes 的报告指,一旦成功安装,eFast Browser 会尝试删除 Chrome 并取而代之,并劫持相关的系统档案关联如 htm/html、pdf、jpg、webp、xht 等,以及网络传输协定如 ftp、http/https、nntp、sms、webcal 等。
除了劫持,Malwarebytes 还指出 eFast Browser 的开发是建基于 Chromium 开源计划,因此无论是浏览器图示、界面以及功能都与 Chrome 非常相似,看起来就像其他由 Chromium 开源计划下开发出来的正规浏览器,容易迷惑对此不熟悉的用户,让用户无法察觉 Chrome 浏览器已被取代。而 eFast 的开发公司名为 Clara Labs,还开发有其他类似的浏览器例如 BoBrowser、Tortuga 和 Unico。
浏览器纷纷收紧套件安装,恶意程式另觅出路
Swift On Security 的资讯安全人员指出,恶意软件之所以有这样的转变,是因为目前 Chrome 正逐步加紧对浏览器套件的审核,而 Firefox 和 Microsoft 的 Edge 浏览器在该方面亦有着相同的取向。因此植入恶意套件的方式将越来越困难,而伪装成正规的浏览器取代用户的预设浏览器,反而成为恶意程式的新出路。
所幸的是,根据 PCrisk 的评估,eFast Browser 通常会置于免费资源下载网站的广告中,让使用者一时不察下载安装,因此只要用户在下载是稍微留意就能避免,即使不小心下载安装,仍然能透过常规方式解除安装。
- Malicious adware’s latest trick is replacing your whole browser
- eFast browser hijacks file associations
(本文由 Unwire Pro 授权转载)
