Fireball: malware chino infecta 250 millones de computadoras en todo el mundo

Malware Fireball: Conoce cómo funciona y descubre si tu PC está infectada

Parece que la sombría nube de ataques de malware no tiene intención de abandonar el mundo digital. Primero, fue el ataque de ransomware WannaCry el 12 de mayo de 2017 que paralizó más de 300,000 computadoras en más de 150 países al infectarlas.

Mientras las empresas de todo el mundo aún intentan recuperarse del ataque de ransomware ‘WannaCry’, un nuevo malware chino instalado ahora está atacando navegadores y convirtiéndolos en zombis. El malware apodado ‘Fireball’ ha afectado a más de 250 millones de computadoras en todo el mundo.

Check Point, una firma de seguridad de datos, que fue la primera en descubrir la nueva amenaza, dijo que el software malicioso está diseñado para secuestrar navegadores para cambiar el motor de búsqueda predeterminado y las páginas de inicio y rastrear su tráfico web en nombre de una firma de marketing digital con sede en Pekín llamada Rafotech y aumentar la red publicitaria para ellos, informó WIRED el viernes.

“Aunque Rafotech no admite que produce secuestradores de navegadores y motores de búsqueda falsos, se declara (con orgullo) una agencia de marketing exitosa, alcanzando 300 millones de usuarios en todo el mundo, que curiosamente es similar a nuestro número estimado de infecciones”, dijeron los analistas de Check Point en su blog.

Cuando se instala, el software redirige el navegador de un usuario a sitios web que imitan la apariencia de las páginas de inicio de búsqueda de Google o Yahoo. Las páginas falsas luego recopilan secretamente información privada del usuario utilizando lo que se llaman píxeles de seguimiento.

La firma dijo que ha encontrado que el malware también tiene la capacidad de ejecutar código de forma remota que lanza tareas no autorizadas en computadoras infectadas, incluyendo la descarga de más malware malicioso y, en última instancia, manipulando el tráfico web de los usuarios infectados para generar ingresos publicitarios. Este tipo de espionaje cibernético puede llevar al robo de credenciales bancarias y de tarjetas de crédito, archivos médicos, patentes y otros datos confidenciales.
“Un cuarto de billón de computadoras podría convertirse muy fácilmente en víctimas de malware real. Instala una puerta trasera en todas estas computadoras que puede ser muy, muy fácilmente explotada en manos de los chinos detrás de esta campaña”, dijo Maya Horowitz, Jefa del Equipo de Investigación de Check Point.

Basado en el análisis de su propia red de clientes, Check Point estimó que uno de cada cinco redes corporativas a nivel mundial tiene al menos una infección, lo que equivale al 20% de las computadoras corporativas. Este nuevo malware tiene sus principales ocurrencias en India, seguido de Brasil, México e Indonesia, según el análisis.
“Pero solo una fracción de esas víctimas, alrededor de 5.5 millones de PCs, están en EE. UU. Los países más afectados son India y Brasil, con cerca de 25 millones de máquinas infectadas cada uno”, dijo la firma.

El problema aquí es que Fireball tiene un certificado digital legítimo ya que actúa como adware y no como un malware malicioso. El paquete Fireball se propaga fácilmente a través de la popular técnica de adware llamada ‘bundling’, donde se inserta encubiertamente en descargas de software gratuito e instalado sin el conocimiento del usuario o a veces con la autorización del usuario.

Rafotech utiliza el bundling en alto volumen para propagar Fireball. Hay dos tipos principales de bundling utilizados por Fireball: productos de Rafotech como ‘Deal Wifi’ o con productos freeware como ‘FVP Imageviewer’. La señal más evidente de una infección es encontrar que tu navegador ha sido redirigido a una nueva página de inicio.

“Según nuestro análisis, los métodos de distribución de Rafotech parecen ser ilegítimos y no siguen los criterios que permitirían que estas acciones se consideren ingenuas o legales”, escribe Check Point. “El malware y los motores de búsqueda falsos no llevan indicadores que los conecten a Rafotech, no pueden ser desinstalados por un usuario ordinario y ocultan su verdadera naturaleza.”

Agregando más, Check Point escribe que mientras “la distribución completa de Fireball aún no se conoce, está claro que presenta una gran amenaza para el ecosistema cibernético global. Se pueden causar daños severos a organizaciones clave, desde grandes proveedores de servicios hasta operadores de infraestructura crítica y a instituciones médicas. La pérdida potencial es indescriptible, y reparar el daño causado por tal fuga masiva de datos (si es que es posible) podría llevar años.”

¿Cómo averiguar si tu sistema ha sido infectado?

Para verificar si tu sistema está infectado o no, primero, abre tu navegador web y responde a estas simples preguntas: ¿Tu página de inicio fue establecida por ti? ¿Puedes modificarla? ¿Estás familiarizado con tu motor de búsqueda predeterminado y puedes modificarlo también? ¿Recuerdas haber instalado todas tus extensiones de navegador?

Si la respuesta a alguna de estas preguntas es ‘NO’, entonces esto es una señal de que tu sistema está infectado con adware.

¿Cómo elimino el malware, una vez infectado?

Algunos de los principales motores de búsqueda utilizados por Rafotech son: trotux.com, forestbrowser.om, luckysearch123.com, y otros. Para eliminar casi cualquier adware, sigue estos simples pasos:

Usuarios de Windows pueden desinstalar el adware eliminando la aplicación de la lista de ‘Programas y características’ en el Panel de control de Windows.

Para usuarios de Mac OS:

Usa el Finder para localizar las Aplicaciones

Arrastra el archivo sospechoso a la Papelera.

Vacía la Papelera.

Nota – Un programa utilizable no siempre está instalado en la máquina y, por lo tanto, puede no encontrarse en la lista de programas.

Escanea y limpia tu máquina, usando:

Software Anti-Malware

Software limpiador de adware

Elimina complementos, extensiones o plug-ins maliciosos de tu navegador:

| | En Google Chrome: a.       Haz clic en el ícono del menú de Chrome y selecciona Herramientas > Extensiones. b.      Localiza y selecciona cualquier complemento sospechoso. c.       Haz clic en el ícono de la papelera para eliminar. | |

| | En Internet Explorer: a.      Haz clic en el ícono de Configuración y selecciona Administrar complementos. b.      Localiza y elimina cualquier complemento malicioso. | |

| | En Mozilla Firefox: a.       Haz clic en el ícono del menú de Firefox y ve a la pestaña Herramientas. b.       Selecciona Complementos > Extensiones. Se abre una nueva ventana. c.       Elimina cualquier complemento sospechoso. d.      Ve al administrador de complementos > Plugins. e.      Localiza y desactiva cualquier plugin malicioso | |

| | En Safari: a.       Asegúrate de que el navegador esté activo. b.      Haz clic en la pestaña Safari y selecciona preferencias. Se abre una nueva ventana. c.       Selecciona la pestaña Extensiones. d.      Localiza y desinstala cualquier extensión sospechosa. | |

Restaurar tu navegador de internet a su configuración predeterminada:

| | En Google Chrome: a.       Haz clic en el ícono del menú de Chrome y selecciona Configuración. b.      En la sección Al iniciar, haz clic en Establecer páginas. c.      Elimina las páginas maliciosas de la lista de páginas de inicio. d.      Encuentra la opción Mostrar botón de inicio y selecciona Cambiar. e.      En el campo Abrir esta página, elimina la página del motor de búsqueda malicioso. f.       En la sección Búsqueda, selecciona Administrar motores de búsqueda. g.      Selecciona la página del motor de búsqueda malicioso y elimínala de la lista. | |

| | En Internet Explorer: a.       Selecciona la pestaña Herramientas y luego selecciona Opciones de Internet. Se abre una nueva ventana. b.      En la pestaña Avanzado, selecciona Restablecer. c.      Marca la casilla Eliminar configuraciones personales. d.      Haz clic en el botón Restablecer. | |

| | En Mozilla Firefox: a.       Habilita la barra de menú del navegador haciendo clic en el espacio en blanco cerca de las pestañas de la página. b.       Haz clic en la pestaña Ayuda y ve a Información de solución de problemas. Se abre una nueva ventana. c.       Selecciona Restablecer Firefox. | |

| | En Safari: a.       Selecciona la pestaña Safari y luego selecciona Preferencias. Se abre una nueva ventana. b.      En la pestaña Privacidad, haz clic en el botón Administrar datos de sitios web… Se abre una nueva ventana. c.      Haz clic en el botón Eliminar todo. | |

Adicionalmente, asegúrate de que tu software antivirus esté funcionando bien con su base de datos actualizada a la más reciente y esté detectando malware o no. Además, mantente alejado de software gratuito, ya que estos podrían ser utilizados para ganar en forma de anuncios y tal vez incluso por medios poco éticos.

Puedes leer más sobre el malware haciendo clic en el enlace de la fuente a continuación.

Fuente: Check Point