250 mln ofiar Fireball. Chińska agencja digital w posiadaniu groźnego narzędzia

wirus

Zespół badawczy firmy Check Point Software Technologies odkrył niedawną dużą operację malware, która zdołała zainfekować ponad 250 milionów komputerów na całym świecie. Zainstalowany malware, którego Check Point nazwał Fireball, przejmuje przeglądarki internetowe zamieniając je w „zombie”. W Polsce malware zainfekował blisko 1/3 sieci firmowych!

Fireball_FlowFireball posiada dwie podstawowe funkcje – pierwsza z nich to możliwość uruchomienia dowolnego kodu na komputerach ofiar i pobrania dowolnego pliku lub złośliwego oprogramowania, natomiast druga to przejęcie urządzenia i manipulowanie ruchem internetowym zarażonych użytkowników, w celu generowania przychodów z reklam. Obecnie Fireball skupia się na instalowaniu wtyczek i dodatkowych konfiguracji, by zwiększyć odsłony swoich reklam, jednakże z łatwością może zmienić się w wiodącego dystrybutora dowolnego złośliwego oprogramowania.

Cała operacja prowadzona jest przez Rafotech, dużą agencję digital-marketingu z siedzibą w Pekinie. Rafotech używa Fireballa w celu manipulowania przeglądarkami ofiar, ustawiając stronę startową i wyszukiwarkę na fałszywy silnik wyszukiwania, który zwyczajnie przekierowuje zapytania do Yahoo.com lub Google.com. Fałszywe wyszukiwarki posiadają tzw. „tracking pixels” służące do zbierania prywatnych informacji o użytkownikach. Fireball, jak twierdzi Check Point, może również szpiegować ofiary,  skutecznie instalować złośliwe oprogramowanie i uruchamiać dowolny złośliwy kod w zainfekowanych maszynach, tworząc w ten sposób szeroką lukę w zabezpieczeniach urządzeń oraz sieci.

Wg danych udzielonych przez Check Point Software Technologies, w Polsce aż 32,29% sieci firmowych zostało zainfekowanych Fireballem. Jest to wynik wyższy niż w Rosji (24,35% sieci), Czechach (18,32%) czy Niemczech (9,75%).

Kluczowe wnioski:

  • Analitycy firmy Check Point odkryli szerokozasięgową chińską operację, która zainfekowała ponad 250 mln komputerów na całym świecie, oraz nawet 20% sieci korporacyjnych.
  • Malware Fireball, działa jak modyfikator przeglądarki (tzw. hijacker) lecz może być również wykorzystany jako nośnik malware. Fireball jest w stanie wgrać dowolny kod na urządzeniu poszkodowanego, co umożliwia szeroki zakres działań, od kradzieży poświadczeń, do możliwości ściągania dodatkowego malware.
  • Fireball rozprzestrzenia się zazwyczaj przez tzw. bundling.
  • Operacja jest prowadzona przez chińską agencję marketingu internetowego.
  • najczęściej zainfekowanymi krajami są Indie (10,1% – w skali globalnej) i Brazylia (9,6%).