FIREBALL – O malware Chinês já infectou mais de 250 milhões de computadores

A Check Point Threat Intelligence e equipes de pesquisa descobriram recentemente uma ameaça Chinesa que infectou mais de 250 milhões de computadores em todo o mundo. O malware instalado, denominado Fireball, toma o controle dos navegadores web e os transforma em zumbis.

Fireball tem duas funcionalidades principais:

  • Possui a capacidade de executar qualquer código nos computadores vítimas – baixar qualquer arquivo ou malware
  • Pode seqüestrar e manipular o tráfego da web dos usuários infectados para gerar receitas publicitárias.

Atualmente, o Fireball instala plug-ins e configurações adicionais para impulsionar seus anúncios, mas, com toda a facilidade, pode se transformar em um distribuidor proeminente para qualquer malware adicional, relata a Checkpoint.

Esta operação é administrada pela Rafotech, uma grande agência de marketing digital com sede em Pequim. A Rafotech usa Fireball para manipular os navegadores das vítimas e transformar seus motores de busca e homepages padrão em falsos mecanismos de pesquisa. Isso redireciona as consultas para yahoo.com ou Google.com. Os motores de busca falsos incluem os pixels de rastreamento usados ​​para coletar a informação privada dos usuários. O Fireball tem a habilidade de espionar as vítimas, executar malware e qualquer código malicioso nas máquinas infectadas, o que cria uma grande falha de segurança em máquinas e redes infectadas.

Os principais países infectados são a Índia (10,1%) e o Brasil (9,6%) 

PRINCIPAIS CONCLUSÕES
• Os analistas Check Point descobriram uma operação de ameaça Chinesa que infectou mais de 250 milhões de computadores em todo o mundo e 20% das redes corporativas.
• O malware, chamado Fireball, atua como um sequestrador do navegador, e pode ser transformado em um downloader de malware. Fireball é capaz de executar qualquer código nas máquinas vítimas, resultando em uma ampla gama de ações de roubar credenciais para deixar cair softwares adicionais.
• O Fireball é espalhado principalmente por meio de agrupamento, ou seja, instalado em máquinas vítimas juto a um programa desejado, muitas vezes sem o consentimento do usuário.
• A operação é executada pela agência Chinesa de marketing digital.
• Os principais países infectados são a Índia (10,1%) e o Brasil (9,6%)

No diagrama abaixo a Checkpoint demonstra o fluxo de infecção do malware:

fireball.jpg

Firewall Inbfectin Flow , fonte: Checkpoint

250 MILLÕES DE MÁQUINAS E 20% DE REDES CORPORATIVAS EM TODO O MUNDO INFECTADO


O alcance da distribuição de malware é alarmante. De acordo com a análise da checkpoint, mais de 250 milhões de computadores em todo o mundo foram infectados: especificamente:

  • 25,3 milhões de infecções na Índia (10,1%)
  • 24,1 milhões no Brasil (9,6%)
  • 16,1 milhões no México (6,4%)
  • 13,1 milhões na Indonésia ( 5,2%).
  • Os Estados Unidos testemunharam 5,5 milhões de infecções (2,2%).

Com base nos sensores globais da Check Point, 20% de todas as redes corporativas são afetadas. As taxas de impacto nos EUA (10,7%) e a China (4,7%) são alarmantes, mas a Indonésia (60%), a Índia (43%) e o Brasil (38%) têm taxas de sucesso muito mais perigosas.

Outro indicador da taxa de infecção incrivelmente alta é a popularidade dos motores de busca falsos da Rafotech. De acordo com os dados de tráfego da web da Alexa, 14 desses motores de busca falsos estão entre os 10 melhores sites, com alguns deles atingindo ocasionalmente os 1.000 maiores.

Ironicamente, embora a Rafotech não admita que produz um sequestrador de navegador e motores de busca falsos, ele (orgulhosamente) se declara uma agência de marketing bem-sucedida, atingindo 300 milhões de usuários em todo o mundo – coincidentemente semelhante ao número de infecções estimadas.



Um backdoor em cada rede infectada


Fireball e outros sequestradores de navegador são criaturas híbridas, meio software aparentemente legítimo e meio malware. Embora a Rafotech use a Fireball apenas para anunciar e iniciar o tráfego para seus motores de busca falsos, pode realizar qualquer ação nas máquinas das vítimas. Essas ações podem ter sérias consequências.

Navegadores sequestrados são atuantes no nível de navegação. Isso significa que eles podem dirigir as vítimas para sites mal-intencionados, espioná-los e conduzir downloads de malware, sem que a vítima saiba.

Como posso saber se estou infectado?

Para verificar se você está infectado, primeiro abra seu navegador da Web. A sua página inicial é a que você definiu? Você pode modificá-la? Você conhece seu mecanismo de pesquisa padrão e também pode modificar isso? Você se lembra de todas as instalações de extensões do seu navegador? Todas as extensões são conhecidas?

Se a resposta a qualquer uma dessas perguntas for “NÃO”, isso é um sinal de que você pode estar infectado com um adware. Você também pode usar um “scanner de adware“, apenas para ser mais cauteloso.

CONCLUSÃO

O estudo da Checkpoint descreve a operação de um sequestrador de navegadores da Rafotech – uma das maiores operações de infecção na história, de forma completamente escondida. Acredita-se que, embora esta não seja uma típica campanha de ataque de malware, ela tem o potencial de causar danos irreversíveis às suas vítimas, bem como a usuários mundiais de internet e, portanto, deve ser bloqueado pelas empresas de segurança.

A infecção total do Fireball ainda não é conhecida, mas é claro que apresenta uma grande ameaça para o ecossistema cibernético global. Com um quarto de milhão de máquinas infectadas e uma em cada cinco redes corporativas, as atividades da Rafotech tornam uma ameaça de alto potencial.

fonte: Checkpoint   por   MindSec  06/06/2017
About mindsecblog 211 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.