Шкідливість Fireball заразив понад 250 млн комп’ютерів по всьому світу

Xakep #240. Ghidra

Команда Threat Intelligence компанії Check Point виявила надзвичайну активність китайської шкідливої ​​кампанії, від якої постраждали вже понад 250 мільйонів комп'ютерів у всьому світі. У кожній четвертій українській компанії (24,35%) заражений хоча б один комп'ютер.

Кампанією управляє найбільша маркетингова агенція Rafotech, розташована в Пекіні. Rafotech використовує Fireball, щоб керувати браузерами жертв та підміняти пошукові системи та стартові сторінки, встановлені за замовчуванням, на фейкові пошукові системи, які просто перенаправляють запити на yahoo.com або google.com. Підроблені пошукові системи здатні збирати персональну інформацію користувачів.

Зазвичай Fireball потрапляє на комп'ютер жертви у зв'язку з іншим ПЗ (разом з Deal Wifi та Mustang Browser компанії Rafotech, або спільно з такими рішеннями як Soso Desktop, FVP Imageviewer), яке завантажує користувач, часто навіть без його згоди. Масштаби поширення Fireball вражають. Відповідно до даних аналітиків Check Point, інфіковано понад 250 мільйонів комп'ютерів по всьому світу: близько 25,3 мільйона в Індії (10,1%), 24,1 мільйона у Бразилії (9,6%), 16,1 мільйона у Мексиці. (6,4%) та 13,1 мільйона в Індонезії (5,2%). У США виявлено близько 5,5 мільйонів заражень (2,2%).

заразив

За даними Check Point, відсоток зараження корпоративних мереж ще вищий: близько 20% від загальної кількості всіх корпоративних мереж у світі. Значна кількість заражень у США (10,7) та в Китаї (4,7%), але особливо вражають дані щодо Індонезії (60%), Індії (43%) та Бразилії (38%).

Іншим показником високого рівня поширення є популярність підроблених пошукових систем Rafotech. Згідно з аналітичною системою Alexa, 14 з цих підроблених пошукових системсистем входять до числа 10 000 найпопулярніших веб-сайтів, причому деякі з них іноді потрапляють і до 1000 найкращих.

Дослідники пишуть, що з технічної точки зору, Fireball демонструє високий ступінь майстерності його творців: він здатний уникати виявлення, містить багаторівневу структуру та гнучкий C& і в цілому нічим не поступається іншим успішним шкідливим програмам.

Rafotech не визнається у поширенні підроблених пошукових систем, проте на своєму сайті оголошує себе успішним маркетинговим агентством, що охоплює 300 мільйонів користувачів по всьому світу, що приблизно збігається з даними про кількість заражених машин.

Масштаби поширення Fireball дають його операторам, Rafotech, практично безмежну владу. Отриману з фейкових пошуків приватну інформацію компанія може продавати шахраям чи бізнес-конкурентам жертв. Також вона може доставити будь-яку іншу зловред на заражені комп'ютери. За даними Check Point, якщо Rafotech вирішить реалізувати цей потенціал, кожна п'ята корпорація у світі перебуватиме в серйозній небезпеці. Збитки можуть бути завдані критично важливим організаціям — від великих постачальників послуг до операторів інфраструктури та медичних установ. Можливі втрати досягають немислимих масштабів, і їх відновлення можуть піти роки.