Fireball : un malware chinois infecte 250 millions d'ordinateurs dans le monde

Malware Fireball : Découvrez comment il fonctionne et vérifiez si votre PC est infecté

Il semble que le sombre nuage des attaques de malware n’ait pas l’intention de quitter le monde numérique. D’abord, il y a eu l’attaque par ransomware WannaCry le 12 mai 2017 qui a mis à l’arrêt plus de 300 000 ordinateurs dans plus de 150 pays en les infectant.

Alors que les entreprises du monde entier essaient encore de se remettre de l’attaque par ransomware WannaCry, un nouveau malware chinois récemment installé cible désormais les navigateurs et les transforme en zombies. Le malware surnommé « Fireball » a affecté plus de 250 millions d’ordinateurs dans le monde.

Check Point, une entreprise de sécurité des données, qui a été la première à découvrir cette nouvelle menace, a déclaré que le logiciel malveillant est conçu pour détourner les navigateurs afin de changer le moteur de recherche par défaut et les pages d’accueil et de suivre leur trafic web au nom d’une entreprise de marketing numérique basée à Pékin appelée Rafotech et de renforcer leur réseau publicitaire, a rapporté WIRED vendredi.

« Bien que Rafotech n’admette pas produire des logiciels de détournement de navigateur et de faux moteurs de recherche, elle se déclare (avec fierté) une agence de marketing réussie, atteignant 300 millions d’utilisateurs dans le monde – coïncidence, similaire à notre nombre d’infections estimées », ont déclaré les analystes de Check Point sur leur blog.

Lorsqu’il est installé, le logiciel redirige le navigateur d’un utilisateur vers des sites Web qui imitent l’apparence des pages d’accueil de recherche de Google ou Yahoo. Les fausses pages collectent ensuite secrètement des informations privées de l’utilisateur à l’aide de ce que l’on appelle des pixels de suivi.

L’entreprise a déclaré avoir découvert que le malware a également la capacité d’exécuter à distance du code qui lance des tâches non autorisées sur les ordinateurs infectés, y compris le téléchargement de malware plus malveillant et, en fin de compte, la manipulation du trafic web des utilisateurs infectés afin de générer des revenus publicitaires. Une telle cyber-espionnage peut entraîner le vol de données bancaires et de cartes de crédit, de dossiers médicaux, de brevets et d’autres données confidentielles.
« Un quart de milliard d’ordinateurs pourrait très facilement devenir des victimes de véritables malwares. Il installe une porte dérobée dans tous ces ordinateurs qui peut être très, très facilement exploitée entre les mains des Chinois derrière cette campagne », a déclaré Maya Horowitz, responsable de l’équipe de recherche de Check Point.

Sur la base de l’analyse de son propre réseau de clients, Check Point a estimé qu’un réseau d’entreprise sur cinq dans le monde a au moins une infection, ce qui équivaut à 20 % des ordinateurs d’entreprise. Ce nouveau malware a ses principales occurrences en Inde, suivi par le Brésil, le Mexique et l’Indonésie, selon l’analyse.
« Mais seulement une fraction de ces victimes, environ 5,5 millions de PC, se trouvent aux États-Unis. Les pays les plus touchés sont l’Inde et le Brésil, avec près de 25 millions de machines infectées chacun », a déclaré l’entreprise.

Le piège ici est que Fireball a un certificat numérique légitime puisqu’il agit comme un adware et non comme un malware vicieux. Le package Fireball se propage facilement par la technique d’adware populaire appelée « bundling » où il est inséré discrètement dans des téléchargements de logiciels gratuits et installé sans la connaissance de l’utilisateur ou parfois avec l’autorisation de l’utilisateur.

Rafotech utilise le bundling en grande quantité pour propager Fireball. Il existe deux types majeurs de bundling utilisés par Fireball – tels que les produits Rafotech comme « Deal Wifi » ou avec des produits freeware comme « FVP Imageviewer ». Le signe le plus évident d’une infection est de constater que votre navigateur a été redirigé vers une nouvelle page d’accueil.

« Selon notre analyse, les méthodes de distribution de Rafotech semblent illégitimes et ne respectent pas les critères qui permettraient de considérer ces actions comme naïves ou légales », écrit Check Point. « Le malware et les faux moteurs de recherche ne portent pas d’indicateurs les reliant à Rafotech, ils ne peuvent pas être désinstallés par un utilisateur ordinaire, et ils cachent leur véritable nature. »

Ajoutant davantage, Check Point écrit que bien que « la distribution complète de Fireball ne soit pas encore connue, il est clair qu’elle représente une grande menace pour l’écosystème cybernétique mondial. Des dommages graves peuvent être causés à des organisations clés, des principaux fournisseurs de services aux opérateurs d’infrastructures critiques en passant par les institutions médicales. La perte potentielle est indescriptible, et la réparation des dommages causés par une telle fuite massive de données (si cela est même possible) pourrait prendre des années. »

Comment savoir si votre système a été infecté ?

Pour vérifier si votre système est infecté ou non, ouvrez d’abord votre navigateur web et répondez à ces simples questions : Votre page d’accueil a-t-elle été définie par vous ? Êtes-vous en mesure de la modifier ? Connaissez-vous votre moteur de recherche par défaut et pouvez-vous le modifier également ? Vous souvenez-vous d’avoir installé toutes vos extensions de navigateur ?

Si la réponse à l’une de ces questions est « NON », alors cela est un signe que votre système est infecté par un adware.

Comment supprimer le malware, une fois infecté ?

Certains des principaux moteurs de recherche utilisés par Rafotech sont : trotux.com, forestbrowser.om, luckysearch123.com, et d’autres. Pour supprimer presque n’importe quel adware, suivez ces étapes simples :

Les utilisateurs de Windows peuvent désinstaller l’adware en supprimant l’application de la liste « Programmes et fonctionnalités » dans le Panneau de configuration Windows.

Pour les utilisateurs de Mac OS :

Utilisez le Finder pour localiser les Applications

Faites glisser le fichier suspect vers la Corbeille.

Videz la Corbeille.

Remarque – Un programme utilisable n’est pas toujours installé sur la machine et peut donc ne pas être trouvé dans la liste des programmes.

Analysez et nettoyez votre machine, en utilisant :

Logiciel Anti-Malware

Logiciel de nettoyage d’adware

Supprimez les modules complémentaires, extensions ou plug-ins malveillants de votre navigateur :

| | Sur Google Chrome : a. Cliquez sur l’icône du menu Chrome et sélectionnez Outils > Extensions. b. Localisez et sélectionnez les modules complémentaires suspects. c. Cliquez sur l’icône de la corbeille pour supprimer. | |

| | Sur Internet Explorer : a. Cliquez sur l’icône de Paramètres et sélectionnez Gérer les modules complémentaires. b. Localisez et supprimez les modules complémentaires malveillants. | |

| | Sur Mozilla Firefox : a. Cliquez sur l’icône du menu Firefox et allez à l’onglet Outils. b. Sélectionnez Modules complémentaires > Extensions. Une nouvelle fenêtre s’ouvre. c. Supprimez les modules complémentaires suspects. d. Allez dans le gestionnaire de modules complémentaires > Plugins. e. Localisez et désactivez les plugins malveillants | |

| | Sur Safari : a. Assurez-vous que le navigateur est actif. b. Cliquez sur l’onglet Safari et sélectionnez préférences. Une nouvelle fenêtre s’ouvre. c. Sélectionnez l’onglet Extensions. d. Localisez et désinstallez les extensions suspectes. | |

Restaurez votre navigateur Internet à ses paramètres par défaut :

| | Sur Google Chrome : a. Cliquez sur l’icône du menu Chrome, et sélectionnez Paramètres. b. Dans la section Au démarrage, cliquez sur Définir les pages. c. Supprimez les pages malveillantes de la liste des pages de démarrage. d. Trouvez l’option Afficher le bouton Accueil et sélectionnez Changer. e. Dans le champ Ouvrir cette page, supprimez la page du moteur de recherche malveillant. f. Dans la section Recherche, sélectionnez Gérer les moteurs de recherche. g. Sélectionnez la page du moteur de recherche malveillant et supprimez-la de la liste. | |

| | Sur Internet Explorer : a. Sélectionnez l’onglet Outils puis sélectionnez Options Internet. Une nouvelle fenêtre s’ouvre. b. Dans l’onglet Avancé, sélectionnez Réinitialiser. c. Cochez la case Supprimer les paramètres personnels. d. Cliquez sur le bouton Réinitialiser. | |

| | Sur Mozilla Firefox : a. Activez la barre de menu du navigateur en cliquant sur l’espace vide près des onglets de page. b. Cliquez sur l’onglet Aide, et allez à Informations de dépannage. Une nouvelle fenêtre s’ouvre. c. Sélectionnez Réinitialiser Firefox. | |

| | Sur Safari : a. Sélectionnez l’onglet Safari puis sélectionnez Préférences. Une nouvelle fenêtre s’ouvre. b. Dans l’onglet Confidentialité, le bouton Gérer les données de site… Une nouvelle fenêtre s’ouvre. c. Cliquez sur le bouton Supprimer tout. | |

De plus, assurez-vous que votre logiciel antivirus fonctionne correctement avec sa base de données mise à jour à la dernière version et qu’il détecte le malware ou non. En outre, restez à l’écart des logiciels gratuits, car ceux-ci pourraient être utilisés pour gagner de l’argent sous forme de publicités et peut-être même par des moyens non éthiques.

Vous pouvez en savoir plus sur le malware en cliquant sur le lien source ci-dessous.

Source : Check Point