ファイアボール：中国のマルウェアが世界中で2億5000万台のコンピュータに感染

ファイアボールマルウェア：その仕組みを知り、あなたのPCが感染しているか確認する

マルウェア攻撃の暗い雲がデジタル世界から去る気配はありません。最初は、2017年5月12日に発生したWannaCryランサムウェア攻撃で、150カ国以上の30万台以上のコンピュータが感染し、停止しました。

世界中の企業が「WannaCryランサムウェア」攻撃から回復しようとしている中、新たにインストールされた中国のマルウェアがブラウザをターゲットにし、それをゾンビに変えています。この「ファイアボール」と名付けられたマルウェアは、世界中で2億5000万台以上のコンピュータに影響を与えています。

データセキュリティ企業のCheck Pointは、新たな脅威を最初に発見した企業であり、この悪意のあるソフトウェアはブラウザをハイジャックしてデフォルトの検索エンジンやホームページを変更し、北京に本社を置くデジタルマーケティング企業Rafotechのためにウェブトラフィックを追跡し、広告ネットワークを強化するように設計されていると報告しています。

「Rafotechはブラウザハイジャッカーや偽の検索エンジンを製造していることを認めていませんが、300万人のユーザーに到達する成功したマーケティングエージェンシーであると（誇らしげに）宣言しています。これは、私たちの推定感染数に偶然にも似ています」とCheck Pointのアナリストはブログで述べました。

インストールされると、このソフトウェアはユーザーのブラウザをGoogleやYahooの検索ホームページの外観を偽装したウェブサイトにリダイレクトします。偽のページは、その後、いわゆるトラッキングピクセルを使用してユーザーのプライベート情報を秘密裏に収集します。

同社は、このマルウェアが感染したコンピュータ上で無許可のタスクを実行するコードをリモートで実行する能力を持っていることも発見しました。これには、さらに悪意のあるマルウェアをダウンロードし、最終的には感染したユーザーのウェブトラフィックを操作して広告収入を生成することが含まれます。このようなサイバースパイ行為は、銀行およびクレジットカードの資格情報、医療ファイル、特許、その他の機密データの盗難につながる可能性があります。

「2億5000万台のコンピュータは非常に簡単に本物のマルウェアの犠牲者になる可能性があります。これは、これらすべてのコンピュータにバックドアをインストールし、このキャンペーンの背後にいる中国人の手に非常に簡単に悪用される可能性があります」とCheck Point Research Teamの責任者であるマヤ・ホロウィッツは述べました。

Check Pointは、自社のクライアントネットワークの分析に基づいて、世界中の企業ネットワークの5分の1が少なくとも1つの感染を持っていると推定しており、これは企業コンピュータの20%に相当します。この新しいマルウェアは、インドで主に発生しており、次いでブラジル、メキシコ、インドネシアが続いています。

「しかし、その犠牲者のほんの一部、約550万台のPCが米国にあります。インドやブラジルのような国々は、各国で2500万台近くの感染したマシンがあり、はるかに悪影響を受けています」と同社は述べました。

ここでのポイントは、ファイアボールが広告ウェアとして機能するため、悪質なマルウェアではなく、正当なデジタル証明書を持っていることです。ファイアボールパッケージは、人気のある広告ウェア技術「バンドル」を通じて簡単に広がり、無料ソフトウェアのダウンロードに密かに挿入され、ユーザーの知らないうちにインストールされるか、時にはユーザーの承認のもとにインストールされます。

Rafotechは、ファイアボールを広めるために高ボリュームのバンドルを使用しています。ファイアボールによって使用されるバンドルには、Rafotech製品の「Deal Wifi」や「FVP Imageviewer」のようなフリーウェア製品の2つの主要なタイプがあります。感染の最も明白な兆候は、ブラウザが新しいホームページにリダイレクトされていることです。

「私たちの分析によると、Rafotechの配布方法は不正であり、これらの行動が無邪気または合法と見なされる基準に従っていないようです」とCheck Pointは記述しています。「マルウェアと偽の検索エンジンはRafotechに関連する指標を持たず、通常のユーザーによってアンインストールすることができず、その真の性質を隠しています。」

さらに、Check Pointは「ファイアボールの完全な配布はまだ知られていませんが、これは世界のサイバーエコシステムに大きな脅威をもたらすことは明らかです。主要なサービスプロバイダーから重要なインフラ運営者、医療機関に至るまで、重要な組織に深刻な損害を引き起こす可能性があります。潜在的な損失は言葉では表現できず、このような大規模なデータ漏洩によって引き起こされた損害を修復すること（可能であれば）には数年かかる可能性があります。」

システムが感染しているかどうかを確認する方法

システムが感染しているかどうかを確認するには、まずウェブブラウザを開き、以下の簡単な質問に答えてください：あなたのホームページは自分で設定しましたか？それを変更できますか？デフォルトの検索エンジンに精通していて、それも変更できますか？すべてのブラウザ拡張機能をインストールしたことを覚えていますか？

これらの質問のいずれかに「いいえ」と答えた場合、これはあなたのシステムが広告ウェアに感染している兆候です。

感染した場合、マルウェアを削除する方法

Rafotechによって使用される主要な検索エンジンのいくつかは：trotux.com、forestbrowser.om、luckysearch123.comなどです。ほぼすべての広告ウェアを削除するには、以下の簡単な手順に従ってください：

Windowsユーザーは、Windowsコントロールパネルの「プログラムと機能」リストからアプリケーションを削除することで広告ウェアをアンインストールできます。

Mac OSユーザーの場合：

Finderを使用してアプリケーションを探します。

疑わしいファイルをゴミ箱にドラッグします。

ゴミ箱を空にします。

注意 – 使用可能なプログラムは常にマシンにインストールされているわけではなく、したがってプログラムリストに見つからない場合があります。

以下を使用してマシンをスキャンし、クリーンにします：

マルウェア対策ソフトウェア 広告ウェアクリーナーソフトウェア

ブラウザから悪意のあるアドオン、拡張機能、プラグインを削除します：

| | Google Chromeの場合： a.       Chromeメニューアイコンをクリックし、ツール > 拡張機能を選択します。 b.      疑わしいアドオンを見つけて選択します。 c.       ゴミ箱アイコンをクリックして削除します。 | |

| | Internet Explorerの場合： a.      設定アイコンをクリックし、アドオンの管理を選択します。 b.      疑わしいアドオンを見つけて削除します。 | |

| | Mozilla Firefoxの場合： a.       Firefoxメニューアイコンをクリックし、ツールタブに移動します。 b.       アドオン > 拡張機能を選択します。新しいウィンドウが開きます。 c.       疑わしいアドオンを削除します。 d.      アドオンマネージャー > プラグインに移動します。 e.      悪意のあるプラグインを見つけて無効にします。 | |

| | Safariの場合： a.       ブラウザがアクティブであることを確認します。 b.      Safariタブをクリックし、設定を選択します。新しいウィンドウが開きます。 c.       拡張機能タブを選択します。 d.      疑わしい拡張機能を見つけてアンインストールします。 | |

インターネットブラウザをデフォルト設定に戻す：

| | Google Chromeの場合： a.       Chromeメニューアイコンをクリックし、設定を選択します。 b.      起動時セクションで、ページを設定をクリックします。 c.      スタートアップページリストから悪意のあるページを削除します。 d.      ホームボタンオプションを見つけて変更を選択します。 e.      このページを開くフィールドで、悪意のある検索エンジンページを削除します。 f.       検索セクションで、検索エンジンを管理を選択します。 g.      悪意のある検索エンジンページを選択し、リストから削除します。 | |

| | Internet Explorerの場合： a.       ツールタブを選択し、次にインターネットオプションを選択します。新しいウィンドウが開きます。 b.      高度なタブで、リセットを選択します。 c.      個人設定を削除するボックスをチェックします。 d.      リセットボタンをクリックします。 | |

| | Mozilla Firefoxの場合： a.       ページタブの近くの空白のスペースをクリックしてブラウザメニューバーを有効にします。 b.       ヘルプタブをクリックし、トラブルシューティング情報に移動します。新しいウィンドウが開きます。 c.       Firefoxをリセットを選択します。 | |

| | Safariの場合： a.       Safariタブを選択し、次に設定を選択します。新しいウィンドウが開きます。 b.      プライバシータブで、ウェブサイトデータを管理…ボタンをクリックします。新しいウィンドウが開きます。 c.      すべて削除ボタンをクリックします。 | |

さらに、アンチウイルスソフトウェアが正常に動作しており、データベースが最新のものでマルウェアを検出しているかどうかを確認してください。また、無料ソフトウェアからは離れてください。これらは広告の形で収益を上げるために使用される可能性があり、場合によっては非倫理的な手段によっても使用される可能性があります。

マルウェアについての詳細は、以下のソースリンクをクリックして読むことができます。

出典：Check Point