martedì 6 giugno 2017

Fireball: il malware cinese che ha già infettato 250 milioni di computer


I ricercatori di sicurezza di Check Point hanno scoperto recentemente una massiccia campagna di distribuzione di un malware che ha già colpito 250 milioni di utenti da tutto il mondo. Il malware viene distribuito principalmente in "bundle" con prodotti software della società di marketing digitale Rafotech (o Rafo Technology, Inc.), con base a Pechino, Cina. Il malware installato, chiamato Fireball, si appropria dei dispositivi infettati e li trasforma in “zombie”. Fireball ha dalle caratteristiche tecniche che lo rendono non dissimile da un normale trojan:
la capacità di evasione, la struttura multi livello e la comunicazione con server C&C, la capacità di avviare qualunque codice nei computer delle vittime, scaricando qualunque file o malware e manipolando il traffico in rete degli utenti per generare profitti pubblicitari. Per ora, Fireball viene utilizzato solo come adware: installa estensioni e modifica la configurazione del dispositivo allo scopo di redirigere il traffico web della vittima verso falsi motori di ricerca e ricavare profitto da pagine sponsorizzate e annunci pubblicitari mirati. Fireball è anche in grado di ottenere informazioni sulla navigazione dell’utente ed inviarle a server controllati dai suoi creatori.
Il team di Check Point ha calcolato che ci sono attualmente più di 250 milioni di computer infetti da Fireball, soprattutto India e Brasile mentre in Europa le più colpite sembrerebbero per ora l’Italia e il Portogallo. (Sotto: mappa delle infezioni del malware, gli stati più scuri sono i più colpiti)
Fireball, come altri browser-hijacker, è una creatura ibrida: da una parte è un software legittimato, dall’altra è un malware. Anche se Rafotech usa Fireball solo per le pubblicità e per indirizzare il traffico verso i suoi motori di ricerca falsi, il malware potrebbe compiere qualunque azione nella macchina della vittima  e portare a serie conseguenze. 

Come infetta i dispositivi
Anche se la distribuzione di Fireball è illegittima e pericolosa, porta con se certificati digitali che la fanno apparire legale. Infatti Rafotech sa bene che la distribuzione di adware non è considerata un crimine come invece avviene per quella di malware. Alcune compagnie forniscono software o servizi gratuitamente, facendo della raccolta dati e del mostrare le pubblicità il loro profitto. Una volta che il cliente accetta l’installazione di caratteristiche o software extra nel proprio dispositivo diventa difficile accorgersi delle intenzioni maligne del provider: questo ha permesso la nascita di un nuovo metodo di monetizzazione, il Bundling. Il Bundling avviene nel momento in cui un programma già installato in un dispositivo installa a sua volta un ulteriore programma, a volte chiedendo l'auorizzazione dell’utente, a volte no. Rafotech ha utilizzato proprio questo metodo per diffondere Fireball. (Sotto: il metodo Bundling in azione)



Secondo Check Point, il metodo in questione sembrerebbe illegale dal momento che non segue i criteri necessari per legge: il malware e il motore di ricerca falso non possiedono indicatori che li ricolleghino a Rafotech, non possono essere disinstallati da utenti ordinari e nascondono la loro vera natura.

Come rilevare ed eliminare Fireball
Per controllare se il proprio dispositivo è stato infettato da Fireball o da altri adware o spyware, si suggerisce di aprire il proprio browser e verificare che non siano installate estensioni sospette o di origine sconosciuta e che le impostazioni relative alla pagina iniziale predefinita e ai motori di ricerca non siano state alterate. In caso di infezione, si suggerisce di rimuovere le estensioni malevole e ripristinare le impostazioni predefinite del browser, avendo cura di salvare prima i propri segnalibri. Come misura precauzionale aggiuntiva, si suggerisce di effettuare una scansione del sistema con un software anti-malware e anti-spyware.

Nessun commento:

Posta un commento