Fireball: Chinesische Malware infiziert 250 Millionen Computer weltweit

Fireball Malware: Wissen, wie es funktioniert und herausfinden, ob Ihr PC infiziert ist

Es scheint, als ob die düstere Wolke von Malware-Angriffen nicht gewillt ist, die digitale Welt zu verlassen. Zuerst war es der WannaCry-Ransomware-Angriff am 12. Mai 2017, der mehr als 300.000 Computer in über 150 Ländern zum Stillstand brachte, indem er sie infizierte.

Während Unternehmen weltweit immer noch versuchen, sich von dem ‚WannaCry-Ransomware‘-Angriff zu erholen, zielt eine neu installierte chinesische Malware nun auf Browser ab und verwandelt sie in Zombies. Die Malware mit dem Namen ‚Fireball‘ hat mehr als 250 Millionen Computer weltweit betroffen.

Check Point, ein Unternehmen für Datensicherheit, das als erstes die neue Bedrohung entdeckte, sagte, dass die bösartige Software entwickelt wurde, um Browser zu kapern, um die Standardsuchmaschine und die Startseiten zu ändern und den Webverkehr im Auftrag des in Peking ansässigen digitalen Marketingunternehmens Rafotech zu verfolgen und deren Werbenetzwerk zu stärken, berichtete WIRED am Freitag.

„Obwohl Rafotech nicht zugibt, Browser-Hijacker und gefälschte Suchmaschinen zu produzieren, erklärt es sich (stolz) als erfolgreiche Marketingagentur, die 300 Millionen Nutzer weltweit erreicht – zufällig ähnlich unserer geschätzten Infektionszahl“, sagten Check Point-Analysten in ihrem Blog.

Wenn installiert, leitet die Software den Browser eines Nutzers auf Websites um, die das Aussehen der Google- oder Yahoo-Suchstartseiten fälschen. Die gefälschten Seiten sammeln dann heimlich private Informationen des Nutzers mithilfe sogenannter Tracking-Pixel.

Das Unternehmen sagte, es habe festgestellt, dass die Malware auch die Fähigkeit hat, Code aus der Ferne auszuführen, der unbefugte Aufgaben auf infizierten Computern startet, einschließlich des Herunterladens weiterer bösartiger Malware und letztendlich der Manipulation des Webverkehrs der infizierten Nutzer, um Werbeeinnahmen zu generieren. Solches Cyber-Spionage kann zum Diebstahl von Bank- und Kreditkarteninformationen, medizinischen Akten, Patenten und anderen vertraulichen Daten führen.
„Eine Viertelmilliarde Computer könnte sehr leicht Opfer echter Malware werden. Es installiert eine Hintertür in all diese Computer, die sehr, sehr leicht von den Chinesen hinter dieser Kampagne ausgenutzt werden kann“, sagte Maya Horowitz, Leiterin des Check Point Research Teams.

Basierend auf der Analyse seines eigenen Netzwerks von Kunden schätzte Check Point, dass eines von fünf Unternehmensnetzwerken weltweit mindestens eine Infektion hat, was 20 % der Unternehmenscomputer entspricht. Diese neue Malware hat ihre Hauptvorkommen in Indien, gefolgt von Brasilien, Mexiko und Indonesien, laut der Analyse.
„Aber nur ein Bruchteil dieser Opfer, etwa 5,5 Millionen PCs, befindet sich in den USA. Weitaus schlimmer betroffen sind Länder wie Indien und Brasilien, mit jeweils fast 25 Millionen infizierten Maschinen“, sagte das Unternehmen.

Der Haken dabei ist, dass Fireball ein legitimes digitales Zertifikat hat, da es als Adware und nicht als bösartige Malware fungiert. Das Fireball-Paket wird leicht durch die beliebte Adware-Technik namens ‚Bundling‘ verbreitet, bei der es heimlich in kostenlose Software-Downloads eingefügt und ohne das Wissen des Nutzers oder manchmal mit der Genehmigung des Nutzers installiert wird.

Rafotech verwendet Bundling in großem Umfang, um Fireball zu verbreiten. Es gibt zwei Haupttypen von Bundling, die von Fireball verwendet werden – wie Rafotech-Produkte wie ‚Deal Wifi‘ oder mit Freeware-Produkten wie ‚FVP Imageviewer‘. Das offensichtlichste Zeichen einer Infektion ist, wenn Ihr Browser auf eine neue Startseite umgeleitet wurde.

„Laut unserer Analyse scheinen die Verteilungsmethoden von Rafotech illegitim zu sein und folgen nicht den Kriterien, die es erlauben würden, diese Aktionen als naiv oder legal zu betrachten“, schreibt Check Point. „Die Malware und die gefälschten Suchmaschinen tragen keine Indikatoren, die sie mit Rafotech verbinden, sie können von einem gewöhnlichen Nutzer nicht deinstalliert werden, und sie verbergen ihre wahre Natur.“

Zusätzlich schreibt Check Point, dass „die vollständige Verbreitung von Fireball noch nicht bekannt ist, es ist jedoch klar, dass sie eine große Bedrohung für das globale Cyber-Ökosystem darstellt. Schwere Schäden können an wichtigen Organisationen verursacht werden, von großen Dienstanbietern bis hin zu Betreibern kritischer Infrastrukturen und medizinischen Einrichtungen. Der potenzielle Verlust ist unbeschreiblich, und die Reparatur der durch solch massive Datenlecks verursachten Schäden (wenn überhaupt möglich) könnte Jahre dauern.“

Wie finde ich heraus, ob Ihr System infiziert ist?

Um zu überprüfen, ob Ihr System infiziert ist oder nicht, öffnen Sie zuerst Ihren Webbrowser und beantworten Sie diese einfachen Fragen: Wurde Ihre Startseite von Ihnen festgelegt? Können Sie sie ändern? Sind Sie mit Ihrer Standardsuchmaschine vertraut und können Sie diese ebenfalls ändern? Erinnern Sie sich daran, alle Ihre Browsererweiterungen installiert zu haben?

Wenn die Antwort auf eine dieser Fragen ‚NEIN‘ ist, dann ist das ein Zeichen dafür, dass Ihr System mit Adware infiziert ist.

Wie entferne ich die Malware, sobald ich infiziert bin?

Einige der häufigsten Suchmaschinen, die von Rafotech verwendet werden, sind: trotux.com, forestbrowser.om, luckysearch123.com und andere. Um fast jede Adware zu entfernen, folgen Sie diesen einfachen Schritten:

Windows-Nutzer können die Adware deinstallieren, indem sie die Anwendung aus der Liste ‚Programme und Funktionen‘ in der Windows-Systemsteuerung entfernen.

Für Mac OS-Nutzer:

Verwenden Sie den Finder, um die Anwendungen zu finden.

Ziehen Sie die verdächtige Datei in den Papierkorb.

Leeren Sie den Papierkorb.

Hinweis – Ein benutzbares Programm ist nicht immer auf dem Computer installiert und daher möglicherweise nicht in der Programmliste zu finden.

Scannen und reinigen Sie Ihren Computer mit:

Anti-Malware-Software

Adware-Reinigungssoftware

Entfernen Sie bösartige Add-ons, Erweiterungen oder Plugins aus Ihrem Browser:

| | In Google Chrome: a.       Klicken Sie auf das Chrome-Menü-Symbol und wählen Sie Werkzeuge > Erweiterungen. b.      Suchen und wählen Sie verdächtige Add-ons aus. c.       Klicken Sie auf das Papierkorbsymbol, um zu löschen. | |

| | In Internet Explorer: a.      Klicken Sie auf das Einstellungssymbol und wählen Sie Add-ons verwalten. b.      Suchen und entfernen Sie bösartige Add-ons. | |

| | In Mozilla Firefox: a.       Klicken Sie auf das Firefox-Menü-Symbol und gehen Sie zum Tab Werkzeuge. b.       Wählen Sie Add-ons > Erweiterungen. Ein neues Fenster öffnet sich. c.       Entfernen Sie verdächtige Add-ons. d.      Gehen Sie zum Add-ons-Manager > Plugins. e.      Suchen und deaktivieren Sie bösartige Plugins | |

| | In Safari: a.       Stellen Sie sicher, dass der Browser aktiv ist. b.      Klicken Sie auf den Safari-Tab und wählen Sie Einstellungen. Ein neues Fenster öffnet sich. c.       Wählen Sie den Tab Erweiterungen. d.      Suchen und deinstallieren Sie verdächtige Erweiterungen. | |

Stellen Sie Ihren Internetbrowser auf die Standardeinstellungen zurück:

| | In Google Chrome: a.       Klicken Sie auf das Chrome-Menü-Symbol und wählen Sie Einstellungen. b.      Im Abschnitt Beim Start klicken Sie auf Seiten festlegen. c.      Löschen Sie die bösartigen Seiten aus der Liste der Startseiten. d.      Finden Sie die Option Startseite anzeigen und wählen Sie Ändern. e.      Im Feld Diese Seite öffnen löschen Sie die bösartige Suchmaschinen-Seite. f.       Im Abschnitt Suche wählen Sie Suchmaschinen verwalten. g.      Wählen Sie die bösartige Suchmaschinen-Seite aus und entfernen Sie sie aus der Liste. | |

| | In Internet Explorer: a.       Wählen Sie den Tab Werkzeuge und dann Internetoptionen. Ein neues Fenster öffnet sich. b.      Im Tab Erweitert wählen Sie Zurücksetzen. c.      Aktivieren Sie das Kontrollkästchen Persönliche Einstellungen löschen. d.      Klicken Sie auf die Schaltfläche Zurücksetzen. | |

| | In Mozilla Firefox: a.       Aktivieren Sie die Menüleiste des Browsers, indem Sie auf den leeren Bereich neben den Seiten-Tabs klicken. b.       Klicken Sie auf den Hilfetab und gehen Sie zu Informationen zur Fehlerbehebung. Ein neues Fenster öffnet sich. c.       Wählen Sie Firefox zurücksetzen. | |

| | In Safari: a.       Wählen Sie den Safari-Tab und dann Einstellungen. Ein neues Fenster öffnet sich. b.      Im Tab Datenschutz klicken Sie auf die Schaltfläche Website-Daten verwalten… Ein neues Fenster öffnet sich. c.      Klicken Sie auf die Schaltfläche Alle entfernen. | |

Zusätzlich sollten Sie sicherstellen, dass Ihre Antiviren-Software einwandfrei funktioniert, mit der neuesten Datenbank aktualisiert ist und Malware erkennt oder nicht. Darüber hinaus sollten Sie von kostenloser Software Abstand nehmen, da diese möglicherweise verwendet wird, um durch Werbung Einnahmen zu erzielen und möglicherweise sogar durch unethische Mittel.

Sie können mehr über die Malware erfahren, indem Sie auf den untenstehenden Quelllink klicken.

Quelle: Check Point