Fireball: malware chinês infecta 250 milhões de computadores ao redor do mundo

Malware Fireball: Saiba Como Funciona E Descubra Se Seu PC Está Infectado

Parece que a sombria nuvem de ataques de malware não está a fim de deixar o mundo digital. Primeiro, foi o ataque de ransomware WannaCry em 12 de maio de 2017 que paralisou mais de 300.000 computadores em mais de 150 países ao infectá-los.

Enquanto empresas ao redor do mundo ainda tentam se recuperar do ataque de ransomware ‘WannaCry’, um novo malware chinês instalado agora está mirando navegadores e transformando-os em zumbis. O malware chamado ‘Fireball’ afetou mais de 250 milhões de computadores ao redor do mundo.

A Check Point, uma empresa de segurança de dados, que foi a primeira a descobrir a nova ameaça, disse que o software malicioso foi projetado para sequestrar navegadores, mudar o mecanismo de busca padrão e as páginas iniciais e rastrear o tráfego da web em nome da empresa de marketing digital com sede em Pequim chamada Rafotech e aumentar a rede de anúncios para eles, informou a WIRED na sexta-feira.

“Embora a Rafotech não admita que produz sequestradores de navegadores e mecanismos de busca falsos, ela se declara (orgulhosamente) uma agência de marketing bem-sucedida, alcançando 300 milhões de usuários em todo o mundo – coincidentemente semelhante ao nosso número estimado de infecções”, disseram os analistas da Check Point em seu blog.

Quando instalado, o software redireciona o navegador do usuário para sites que imitam a aparência das páginas iniciais de busca do Google ou Yahoo. As páginas falsas então coletam secretamente informações privadas do usuário usando os chamados pixels de rastreamento.

A empresa disse que descobriu que o malware também tem a capacidade de executar remotamente códigos que lançam tarefas não autorizadas em computadores infectados, incluindo o download de mais malware malicioso e, em última instância, manipulando o tráfego da web dos usuários infectados para gerar receita publicitária. Essa espionagem cibernética pode levar ao roubo de credenciais bancárias e de cartões de crédito, arquivos médicos, patentes e outros dados confidenciais.
“A quantidade de um quarto de bilhão de computadores poderia muito facilmente se tornar vítimas de malware real. Ele instala uma porta dos fundos em todos esses computadores que pode ser muito, muito facilmente explorada nas mãos das pessoas chinesas por trás dessa campanha”, disse Maya Horowitz, chefe da equipe de pesquisa da Check Point.

Com base na análise de sua própria rede de clientes, a Check Point estimou que um em cada cinco redes corporativas globalmente tem pelo menos uma infecção, o que equivale a 20% dos computadores corporativos. Esse novo malware tem suas principais ocorrências na Índia, seguido pelo Brasil, México e Indonésia, de acordo com a análise.
“Mas apenas uma fração dessas vítimas, cerca de 5,5 milhões de PCs, estão nos EUA. Países como Índia e Brasil foram muito mais afetados, com cerca de 25 milhões de máquinas infectadas cada”, disse a empresa.

O detalhe aqui é que o Fireball possui um certificado digital legítimo, uma vez que atua como adware e não como um malware maligno. O pacote Fireball é facilmente espalhado através da técnica popular de adware chamada ‘bundling’, onde é inserido de forma encoberta em downloads de software gratuito e instalado sem o conhecimento do usuário ou às vezes com a autorização do usuário.

A Rafotech usa o bundling em grande volume para espalhar o Fireball. Existem dois tipos principais de bundling usados pelo Fireball – como produtos da Rafotech, como ‘Deal Wifi’ ou com produtos freeware como ‘FVP Imageviewer’. O sinal mais evidente de uma infecção é encontrar seu navegador redirecionado para uma nova página inicial.

“De acordo com nossa análise, os métodos de distribuição da Rafotech parecem ser ilegítimos e não seguem os critérios que permitiriam que essas ações fossem consideradas ingênuas ou legais”, escreve a Check Point. “O malware e os mecanismos de busca falsos não carregam indicadores que os conectem à Rafotech, não podem ser desinstalados por um usuário comum e ocultam sua verdadeira natureza.”

Adicionando mais, a Check Point escreve que enquanto “a distribuição total do Fireball ainda não é conhecida, está claro que representa uma grande ameaça ao ecossistema cibernético global. Danos severos podem ser causados a organizações-chave, desde grandes provedores de serviços até operadores de infraestrutura crítica e instituições médicas. A perda potencial é indescritível, e reparar os danos causados por tal vazamento massivo de dados (se mesmo possível) pode levar anos.”

Como descobrir se seu sistema foi infectado?

Para verificar se seu sistema está infectado ou não, primeiro, abra seu navegador da web e responda a estas perguntas simples: Sua página inicial foi definida por você? Você consegue modificá-la? Você está familiarizado com seu mecanismo de busca padrão e pode modificá-lo também? Você se lembra de ter instalado todas as suas extensões de navegador?

Se a resposta a qualquer uma dessas perguntas for ‘NÃO’, então isso é um sinal de que seu sistema está infectado com adware.

Como remover o malware, uma vez infectado?

Alguns dos principais mecanismos de busca usados pela Rafotech são: trotux.com, forestbrowser.om, luckysearch123.com, e outros. Para remover quase qualquer adware, siga estes passos simples:

Usuários do Windows podem desinstalar o adware removendo o aplicativo da lista ‘Programas e Recursos’ no Painel de Controle do Windows.

Para usuários do Mac OS:

Use o Finder para localizar os Aplicativos

Arraste o arquivo suspeito para a Lixeira.

Esvazie a Lixeira.

Nota – Um programa utilizável nem sempre está instalado na máquina e, portanto, pode não ser encontrado na lista de programas.

Escaneie e limpe sua máquina, usando:

Software Anti-Malware

Software de limpeza de adware

Remova complementos, extensões ou plug-ins maliciosos do seu navegador:

| | No Google Chrome: a.       Clique no ícone do menu do Chrome e selecione Ferramentas > Extensões. b.      Localize e selecione quaisquer complementos suspeitos. c.       Clique no ícone da lixeira para excluir. | |

| | No Internet Explorer: a.      Clique no ícone de Configurações e selecione Gerenciar Complementos. b.      Localize e remova quaisquer complementos maliciosos. | |

| | No Mozilla Firefox: a.       Clique no ícone do menu do Firefox e vá para a aba Ferramentas. b.       Selecione Complementos > Extensões. Uma nova janela se abre. c.       Remova quaisquer complementos suspeitos. d.      Vá para o gerenciador de complementos > Plugins. e.      Localize e desative quaisquer plugins maliciosos | |

| | No Safari: a.       Certifique-se de que o navegador esteja ativo. b.      Clique na aba Safari e selecione preferências. Uma nova janela se abre. c.       Selecione a aba Extensões. d.      Localize e desinstale quaisquer extensões suspeitas. | |

Restaure seu navegador de internet para suas configurações padrão:

| | No Google Chrome: a.       Clique no ícone do menu do Chrome e selecione Configurações. b.      Na seção Ao iniciar, clique em Definir Páginas. c.      Exclua as páginas maliciosas da lista de páginas de inicialização. d.      Encontre a opção Mostrar botão Início e selecione Alterar. e.      No campo Abrir esta página, exclua a página do mecanismo de busca malicioso. f.       Na seção Pesquisa, selecione Gerenciar mecanismos de busca. g.      Selecione a página do mecanismo de busca malicioso e remova da lista. | |

| | No Internet Explorer: a.       Selecione a aba Ferramentas e depois selecione Opções da Internet. Uma nova janela se abre. b.      Na aba Avançado, selecione Redefinir. c.      Marque a caixa Excluir configurações pessoais. d.      Clique no botão Redefinir. | |

| | No Mozilla Firefox: a.       Ative a Barra de Menu do navegador clicando no espaço em branco próximo às abas da página. b.       Clique na aba Ajuda e vá para Informações de Solução de Problemas. Uma nova janela se abre. c.       Selecione Redefinir Firefox. | |

| | No Safari: a.       Selecione a aba Safari e depois selecione Preferências. Uma nova janela se abre. b.      Na aba Privacidade, clique no botão Gerenciar Dados do Site… Uma nova janela se abre. c.      Clique no botão Remover Todos. | |

Adicionalmente, certifique-se de que seu software antivírus está funcionando bem com seu banco de dados atualizado para a versão mais recente e está detectando malware ou não. Além disso, fique longe de software gratuito, pois esses podem ser usados para ganhar na forma de anúncios e talvez até mesmo por meios antiéticos.

Você pode ler mais sobre o malware clicando no link da fonte abaixo.

Fonte: Check Point