Fireball: китайский вредоносный софт заразил 250 миллионов компьютеров по всему миру

Вредоносное ПО Fireball: узнайте, как оно работает, и проверьте, заражен ли ваш ПК

Похоже, что мрачная тень атак вредоносного ПО не собирается покидать цифровой мир. Сначала это была атака программ-вымогателей WannaCry 12 мая 2017 года, которая остановила более 300 000 компьютеров в более чем 150 странах, заразив их.

Пока компании по всему миру все еще пытаются оправиться от атаки программ-вымогателей WannaCry, новый китайский вредоносный софт теперь нацеливается на браузеры и превращает их в зомби. Вредоносное ПО под названием «Fireball» затронуло более 250 миллионов компьютеров по всему миру.

Компания Check Point, фирма по обеспечению безопасности данных, которая первой обнаружила новую угрозу, сообщила, что злонамеренное программное обеспечение предназначено для захвата браузеров, чтобы изменить настройки поисковой системы по умолчанию и домашние страницы, а также отслеживать их веб-трафик от имени базирующейся в Пекине цифровой маркетинговой компании Rafotech и увеличивать для них рекламную сеть, как сообщается в WIRED в пятницу.

«Хотя Rafotech не признает, что производит захватчики браузеров и фальшивые поисковые системы, она (гордо) заявляет о себе как о успешном маркетинговом агентстве, охватывающем 300 миллионов пользователей по всему миру – случайно похоже на наше количество предполагаемых инфекций», – сказали аналитики Check Point в своем блоге.

Когда вредоносное ПО установлено, оно перенаправляет браузер пользователя на веб-сайты, которые имитируют внешний вид домашней страницы поиска Google или Yahoo. Фальшивые страницы затем тайно собирают личную информацию пользователя с помощью так называемых отслеживающих пикселей.

Фирма сообщила, что обнаружила, что вредоносное ПО также имеет возможность удаленно запускать код, который запускает несанкционированные задачи на зараженных компьютерах, включая загрузку более вредоносного ПО и в конечном итоге манипулирование веб-трафиком зараженных пользователей с целью получения дохода от рекламы. Такое кибершпионство может привести к краже банковских и кредитных данных, медицинских файлов, патентов и другой конфиденциальной информации.
«Четверть миллиарда компьютеров могут очень легко стать жертвами настоящего вредоносного ПО. Оно устанавливает заднюю дверь на все эти компьютеры, которая может быть очень, очень легко использована в руках китайцев, стоящих за этой кампанией», – сказала Майя Хоровиц, руководитель исследовательской группы Check Point.

На основе анализа своей сети клиентов Check Point оценил, что один из пяти корпоративных сетей по всему миру имеет как минимум одну инфекцию, что составляет 20% корпоративных компьютеров. Это новое вредоносное ПО имеет наибольшее распространение в Индии, за ней следуют Бразилия, Мексика и Индонезия, согласно анализу.
«Но только небольшая часть этих жертв, около 5,5 миллиона ПК, находится в США. Гораздо хуже пострадали такие страны, как Индия и Бразилия, с почти 25 миллионами зараженных машин каждая», – сообщила компания.

Здесь есть уловка: Fireball имеет легитимный цифровой сертификат, так как он действует как рекламное ПО, а не как злонамеренное вредоносное ПО. Пакет Fireball легко распространяется через популярную технику рекламного ПО, называемую «пакетированием», где он тайно вставляется в бесплатные загрузки программного обеспечения и устанавливается без ведома пользователя или иногда с разрешения пользователя.

Rafotech использует пакетирование в большом объеме для распространения Fireball. Существуют два основных типа пакетирования, используемых Fireball – такие как продукты Rafotech, такие как «Deal Wifi», или с бесплатными программами, такими как «FVP Imageviewer». Самым очевидным признаком инфекции является то, что ваш браузер был перенаправлен на новую домашнюю страницу.

«Согласно нашему анализу, методы распространения Rafotech кажутся незаконными и не соответствуют критериям, которые позволили бы считать эти действия наивными или законными», – пишет Check Point. «Вредоносное ПО и фальшивые поисковые системы не имеют индикаторов, связывающих их с Rafotech, их не может удалить обычный пользователь, и они скрывают свою истинную природу.»

Добавляя далее, Check Point пишет, что хотя «полное распространение Fireball еще не известно, очевидно, что оно представляет собой большую угрозу для глобальной киберэкосистемы. Серьезный ущерб может быть причинен ключевым организациям, от крупных поставщиков услуг до операторов критической инфраструктуры и медицинских учреждений. Потенциальные потери неописуемы, и восстановление ущерба, причиненного таким массовым утечкой данных (если это вообще возможно), может занять годы.»

Как узнать, заражена ли ваша система?

Чтобы проверить, заражена ли ваша система или нет, сначала откройте свой веб-браузер и ответьте на эти простые вопросы: Установлена ли ваша домашняя страница вами? Можете ли вы изменить ее? Знакомы ли вы со своей поисковой системой по умолчанию и можете ли вы также изменить ее? Помните ли вы, что устанавливали все свои расширения браузера?

Если на любой из этих вопросов ответ «НЕТ», то это признак того, что ваша система заражена рекламным ПО.

Как удалить вредоносное ПО, если заражены?

Некоторые из основных поисковых систем, используемых Rafotech, это: trotux.com, forestbrowser.om, luckysearch123.com и другие. Чтобы удалить почти любое рекламное ПО, выполните следующие простые шаги:

Пользователи Windows могут удалить рекламное ПО, удалив приложение из списка «Программы и компоненты» в Панели управления Windows.

Для пользователей Mac OS:

Используйте Finder, чтобы найти Программы

Перетащите подозрительный файл в Корзину.

Очистите Корзину.

Примечание – Используемая программа не всегда установлена на машине и, следовательно, может не быть найдена в списке программ.

Сканируйте и очищайте свою машину, используя:

Программное обеспечение против вредоносных программ

Программное обеспечение для очистки рекламного ПО

Удалите вредоносные дополнения, расширения или плагины из вашего браузера:

| | В Google Chrome: a.       Нажмите на значок меню Chrome и выберите Инструменты > Расширения. b.      Найдите и выберите любые подозрительные дополнения. c.       Нажмите на значок корзины, чтобы удалить. | |

| | В Internet Explorer: a.      Нажмите на значок Настройки и выберите Управление дополнениями. b.      Найдите и удалите любые вредоносные дополнения. | |

| | В Mozilla Firefox: a.       Нажмите на значок меню Firefox и перейдите на вкладку Инструменты. b.       Выберите Дополнения > Расширения. Откроется новое окно. c.       Удалите любые подозрительные дополнения. d.      Перейдите в менеджер дополнений > Плагины. e.      Найдите и отключите любые вредоносные плагины | |

| | В Safari: a.       Убедитесь, что браузер активен. b.      Нажмите на вкладку Safari и выберите настройки. Откроется новое окно. c.       Выберите вкладку Расширения. d.      Найдите и удалите любые подозрительные расширения. | |

Восстановите ваш интернет-браузер до его настроек по умолчанию:

| | В Google Chrome: a.       Нажмите на значок меню Chrome и выберите Настройки. b.      В разделе При запуске нажмите Установить страницы. c.      Удалите вредоносные страницы из списка страниц запуска. d.      Найдите опцию Показать кнопку «Домой» и выберите Изменить. e.      В поле Открыть эту страницу удалите страницу вредоносной поисковой системы. f.       В разделе Поиск выберите Управление поисковыми системами. g.      Выберите страницу вредоносной поисковой системы и удалите из списка. | |

| | В Internet Explorer: a.       Выберите вкладку Инструменты, а затем выберите Свойства Интернета. Откроется новое окно. b.      В вкладке Дополнительно выберите Сброс. c.      Отметьте поле Удалить личные настройки. d.      Нажмите кнопку Сброс. | |

| | В Mozilla Firefox: a.       Включите строку меню браузера, нажав на пустое пространство рядом с вкладками страницы. b.       Нажмите на вкладку Справка и перейдите к информации для устранения неполадок. Откроется новое окно. c.       Выберите Сбросить Firefox. | |

| | В Safari: a.       Выберите вкладку Safari, а затем выберите Настройки. Откроется новое окно. b.      В вкладке Конфиденциальность нажмите кнопку Управление данными веб-сайтов… Откроется новое окно. c.      Нажмите кнопку Удалить все. | |

Дополнительно убедитесь, что ваше антивирусное программное обеспечение работает нормально с обновленной до последней версии базой данных и обнаруживает вредоносное ПО или нет. Кроме того, избегайте бесплатного программного обеспечения, так как оно может использоваться для получения дохода в виде рекламы и даже неэтичными способами.

Вы можете прочитать больше о вредоносном ПО, нажав на ссылку источника ниже.

Источник: Check Point