Fireball: malware cinese infetta 250 milioni di computer in tutto il mondo

Malware Fireball: Scopri come funziona e verifica se il tuo PC è infetto

Sembra che la cupa nuvola degli attacchi malware non abbia intenzione di lasciare il mondo digitale. Prima c’è stato l’attacco ransomware WannaCry del 12 maggio 2017 che ha bloccato più di 300.000 computer in oltre 150 paesi infettandoli.

Mentre le aziende di tutto il mondo stanno ancora cercando di riprendersi dall’attacco del ransomware WannaCry, un nuovo malware cinese installato sta ora prendendo di mira i browser e trasformandoli in zombie. Il malware soprannominato ‘Fireball’ ha colpito più di 250 milioni di computer in tutto il mondo.

Check Point, una società di sicurezza dei dati, che è stata la prima a scoprire la nuova minaccia, ha dichiarato che il software malevolo è progettato per dirottare i browser per cambiare il motore di ricerca predefinito e le pagine iniziali e monitorare il loro traffico web per conto di una società di marketing digitale con sede a Pechino chiamata Rafotech e potenziare la rete pubblicitaria per loro, ha riportato WIRED venerdì.

“Anche se Rafotech non ammette di produrre dirottatori di browser e motori di ricerca falsi, si dichiara (con orgoglio) un’agenzia di marketing di successo, raggiungendo 300 milioni di utenti in tutto il mondo - coincidentalmente simile al nostro numero di infezioni stimate,” hanno dichiarato gli analisti di Check Point nel loro blog.

Quando installato, il software reindirizza il browser di un utente a siti web che imitano l’aspetto delle homepage di ricerca di Google o Yahoo. Le pagine false raccolgono segretamente informazioni private dell’utente utilizzando i cosiddetti pixel di tracciamento.

La società ha affermato di aver scoperto che il malware ha anche la capacità di eseguire codice da remoto che avvia attività non autorizzate sui computer infetti, inclusi il download di ulteriori malware malevoli e, infine, la manipolazione del traffico web degli utenti infetti per generare entrate pubblicitarie. Tale spionaggio informatico può portare al furto di credenziali bancarie e di carte di credito, file medici, brevetti e altri dati riservati.
“Un quarto di miliardo di computer potrebbe facilmente diventare vittima di malware reale. Installa una backdoor in tutti questi computer che può essere molto, molto facilmente sfruttata nelle mani delle persone cinesi dietro questa campagna,” ha dichiarato Maya Horowitz, capo del team di ricerca di Check Point.

Sulla base dell’analisi della propria rete di clienti, Check Point ha stimato che uno su cinque reti aziendali a livello globale ha almeno un’infezione, il che equivale al 20% dei computer aziendali. Questo nuovo malware ha le sue principali occorrenze in India, seguita da Brasile, Messico e Indonesia, secondo l’analisi.
“Ma solo una frazione di quelle vittime, circa 5,5 milioni di PC, si trova negli Stati Uniti. Colpiti molto peggio sono paesi come India e Brasile, con quasi 25 milioni di macchine infette ciascuna,” ha affermato la società.

Il problema qui è che Fireball ha un certificato digitale legittimo poiché agisce come adware e non come un malware malvagio. Il pacchetto Fireball si diffonde facilmente attraverso la popolare tecnica di adware chiamata ‘bundling’ dove viene inserito di nascosto nei download di software gratuiti e installato senza la conoscenza dell’utente o talvolta con l’autorizzazione dell’utente.

Rafotech utilizza il bundling in grande volume per diffondere Fireball. Ci sono due principali tipi di bundling utilizzati da Fireball - come i prodotti Rafotech come ‘Deal Wifi’ o con prodotti freeware come ‘FVP Imageviewer’. Il segno più evidente di un’infezione è scoprire che il tuo browser è stato reindirizzato a una nuova homepage.

“Secondo la nostra analisi, i metodi di distribuzione di Rafotech sembrano essere illegittimi e non seguono i criteri che consentirebbero a queste azioni di essere considerate ingenue o legali,” scrive Check Point. “Il malware e i motori di ricerca falsi non portano indicatori che li collegano a Rafotech, non possono essere disinstallati da un utente ordinario e nascondono la loro vera natura.”

Aggiungendo ulteriormente, Check Point scrive che mentre “la piena distribuzione di Fireball non è ancora nota, è chiaro che presenta una grande minaccia per l’ecosistema informatico globale. Danni gravi possono essere causati a organizzazioni chiave, da importanti fornitori di servizi a operatori di infrastrutture critiche a istituzioni mediche. La potenziale perdita è indescrivibile e riparare i danni causati da una tale massiccia perdita di dati (se anche possibile) potrebbe richiedere anni.”

Come scoprire se il tuo sistema è stato infettato?

Per controllare se il tuo sistema è infetto o meno, prima apri il tuo browser web e rispondi a queste semplici domande: La tua homepage è stata impostata da te? Sei in grado di modificarla? Conosci il tuo motore di ricerca predefinito e puoi modificarlo anche? Ricordi di aver installato tutte le tue estensioni del browser?

Se la risposta a una di queste domande è ‘NO’, allora questo è un segno che il tuo sistema è infetto da adware.

Come rimuovere il malware, una volta infettati?

Alcuni dei principali motori di ricerca utilizzati da Rafotech sono: trotux.com, forestbrowser.om, luckysearch123.com e altri. Per rimuovere quasi qualsiasi adware, segui questi semplici passaggi:

Gli utenti Windows possono disinstallare l’adware rimuovendo l’applicazione dall’elenco ‘Programmi e funzionalità’ nel Pannello di controllo di Windows.

Per gli utenti Mac OS:

Usa il Finder per localizzare le Applicazioni

Trascina il file sospetto nel Cestino.

Svuota il Cestino.

Nota – Un programma utilizzabile non è sempre installato sulla macchina e quindi potrebbe non essere trovato nell’elenco dei programmi.

Scansiona e pulisci la tua macchina, utilizzando:

Software Anti-Malware

Software per la pulizia dell’adware

Rimuovi componenti aggiuntivi, estensioni o plug-in dannosi dal tuo browser:

| | Su Google Chrome: a.       Fai clic sull’icona del menu di Chrome e seleziona Strumenti > Estensioni. b.      Individua e seleziona eventuali componenti aggiuntivi sospetti. c.       Fai clic sull’icona del cestino per eliminare. | |

| | Su Internet Explorer: a.      Fai clic sull’icona delle Impostazioni e seleziona Gestisci componenti aggiuntivi. b.      Individua e rimuovi eventuali componenti aggiuntivi dannosi. | |

| | Su Mozilla Firefox: a.       Fai clic sull’icona del menu di Firefox e vai alla scheda Strumenti. b.       Seleziona Componenti aggiuntivi > Estensioni. Si apre una nuova finestra. c.       Rimuovi eventuali componenti aggiuntivi sospetti. d.      Vai al gestore dei componenti aggiuntivi > Plugin. e.      Individua e disabilita eventuali plugin dannosi | |

| | Su Safari: a.       Assicurati che il browser sia attivo. b.      Fai clic sulla scheda Safari e seleziona preferenze. Si apre una nuova finestra. c.       Seleziona la scheda Estensioni. d.      Individua e disinstalla eventuali estensioni sospette. | |

Ripristina il tuo browser internet alle impostazioni predefinite:

| | Su Google Chrome: a.       Fai clic sull’icona del menu di Chrome e seleziona Impostazioni. b.      Nella sezione All’avvio, fai clic su Imposta pagine. c.      Elimina le pagine dannose dall’elenco delle pagine di avvio. d.      Trova l’opzione Mostra il pulsante Home e seleziona Cambia. e.      Nella casella Apri questa pagina, elimina la pagina del motore di ricerca dannoso. f.       Nella sezione Ricerca, seleziona Gestisci motori di ricerca. g.      Seleziona la pagina del motore di ricerca dannoso e rimuovila dall’elenco. | |

| | Su Internet Explorer: a.       Seleziona la scheda Strumenti e poi seleziona Opzioni Internet. Si apre una nuova finestra. b.      Nella scheda Avanzate, seleziona Ripristina. c.      Seleziona la casella Elimina impostazioni personali. d.      Fai clic sul pulsante Ripristina. | |

| | Su Mozilla Firefox: a.       Abilita la barra dei menu del browser facendo clic sullo spazio vuoto vicino alle schede della pagina. b.       Fai clic sulla scheda Aiuto e vai a Informazioni per la risoluzione dei problemi. Si apre una nuova finestra. c.       Seleziona Ripristina Firefox. | |

| | Su Safari: a.       Seleziona la scheda Safari e poi seleziona Preferenze. Si apre una nuova finestra. b.      Nella scheda Privacy, fai clic sul pulsante Gestisci dati dei siti web… Si apre una nuova finestra. c.      Fai clic sul pulsante Rimuovi tutto. | |

Inoltre, assicurati che il tuo software antivirus funzioni correttamente con il database aggiornato all’ultima versione e stia rilevando malware o meno. Inoltre, stai lontano da software gratuiti, poiché questi potrebbero essere utilizzati per guadagnare sotto forma di pubblicità e forse anche con mezzi non etici.

Puoi leggere di più sul malware facendo clic sul link di origine qui sotto.

Fonte: Check Point