惡意廣告程式遍布網絡世界,然而隨著普遍用戶的安全意識提高,一般的惡意廣告程式已難以得逞。不過近日就有 Swift On Security 的資訊安全人員發現一款名為 eFast Browser 的惡意程式,發覺該程式一反傳統偽裝成瀏覽器插件植入的方式,直接化身為瀏覽器劫持系統檔案關聯,讓用家在不知不覺中落入它的圈套。
傳統的惡意廣告程式,通常會偽裝成正規的瀏覽器插件,一旦成功植入,就會不斷在用戶瀏覽網站時彈出或加插廣告,企圖令用戶感染更多惡意程式,從而追蹤用戶的瀏覽記錄資料,販賣換取利益。
惡意程式系出同源 圖示介面功能九成相似
eFast Browser 顧名思義,就是捨棄傳統方式,企圖直接劫持並取代用戶的預設瀏覽器來達到目的。Malwarebytes 的報告指,一旦成功安裝,eFast Browser 會嘗試刪除 Chrome 並取而代之,並劫持相關的系統檔案關聯如 htm/html,pdf,jpg,webp,xht 等,以及網路傳輸協定如 ftp,http/https,nntp,sms,webcal 等。
除了劫持,Malwarebytes 還指出 eFast Browser 的開發是建基於 Chromium 開源計劃,因此無論是瀏覽器圖示、介面以及功能都與 Chrome 非常相似,看起來就像其他由 Chromium 開源計劃下開發出來的正規瀏覽器,容易迷惑對此不熟悉的用戶,讓用戶無法察覺 Chrome 瀏覽器已被取代。而 eFast 的開發公司名為 Clara Labs,還開發有其他類似的瀏覽器例如 BoBrowser,Tortuga 和 Unico。
瀏覽器紛紛收緊插件安裝 惡意程式另覓出路
Swift On Security 的資訊安全人員指出,惡意軟件之所以有這樣的轉變,是因為目前 Chrome 正逐步加緊對瀏覽器插件的審核,而 Firefox 和 Microsoft 的 Edge 瀏覽器在該方面亦有著相同的取向。因此植入惡意插件的方式將越來越困難,而偽裝成正規的瀏覽器取代用戶的預設瀏覽器,反而成為惡意程式的新出路。
所幸的是,根據 PCrisk 的評估,eFast Browser 通常會置於免費資源下載網站的廣告中,讓使用者一時不察下載安裝,因此只要用戶在下載是稍微留意就能避免,即使不小心下載安裝,仍然能透過常規方式解除安裝。
Source: The Verge Malwarebytes