FireBall: um adware perigoso e que já infectou milhões

Propagandas podem ser irritantes – e às vezes podem ser maliciosas. Muitos negócios que ganham dinheiro vendendo anúncios passam do limite, na tentativa de aumentar a visibilidade e alcance.

Recentemente, pesquisadores encontraram uma dessas empresas – uma grande agência de marketing digital – que chegou ao ponto de instalar adwares em 250 milhões de computadores com Windows e macOS.

Mas ainda piora, e muito. Esse adware é capaz de se tornar um malware completo, que pode redirecionar usuários para sites maliciosos e libertar vírus em seus computadores. E tinha passado despercebido até agora.

A bola de fogo silenciosa

Adware é uma aplicação que exibe anúncios ou coleta dados sobre o usuário a fim de montar um perfil e vendê-lo para agências de marketing. A forma mais fácil pela qual entra em computadores é se associando com outros programas. Criadores de adware pagam por essa combinação, de modo que desenvolvedores de softwares livres procuram por essas “parcerias” para monetizar seus produtos.

Essa combinação varia dependendo dos desenvolvedores. Embora você normalmente seja notificado sobre programas adicionais instalados com o software que realmente quer, o Fireball não concede a chance de negar – e se instala sorrateiramente. É importante notar que ele não é executado ao mesmo tempo que o freeware desejado, podendo aparecer apenas quando você estiver menos atento a problemas com a instalação.

O Fireball modifica seu navegador para servir aos propósitos de seu criador. A modificação envolve mudanças a página inicial e o mecanismo de busca padrão, bloqueando ainda suas tentativas de alterá-los. A ferramenta de busca implementada contém rastreamento de pixels que reúnem dados de usuários. Além disso, o malware possui a habilidade de executar qualquer código no dispositivo infectado e baixar extensões ou outros softwares.

Interessante que, apesar de sua natureza maliciosa, o adware é assinado com certificados digitais verdadeiros. Também implementa técnicas de evasão para dificultar que seja encontrado ou marcado como perigoso. É por isso ninguém o notou por um certo tempo – o Fireball se passava por um aplicativo legítimo.

Por que o Fireball é tão perigoso

Anúncios associados com monitoramento podem parecer irritantes, porém não perigosos. Contudo, a habilidade do Fireball de baixar, instalar extensões e executar códigos em um dispositivo infectado o torna uma porta dos fundos perfeita – que pode ser usada de diversas formas: principalmente colocando agentes maliciosos, coletando informações críticas ou infectando seu dispositivo com diversos tipos de malware.

De acordo com os pesquisadores que descobriram o Fireball, o malware já atingiu mais de 250 milhões de dispositivos ao redor do mundo, e pode ser encontrado em cinco redes corporativas. Se (ou uma vez) que seus criadores decidam usá-lo para espionagem, pode se tornar uma catástrofe global.

Como saber se estou infectado?

Apesar de sorrateiro, não é difícil de detectar. Abra seu navegador e observe a página inicial – é a que você definiu? E o mecanismo de busca? Consegue modificar as configurações? Se a resposta foi não para todas, pode estar infectado com um adware -inclusive, há chances de ser o Fireball, ou algo diferente.

Se nada bloquear suas tentativas de modificar as configurações e você tem certeza de que sua página inicial e seu mecanismo de busca estão intactos, provavelmente não está entre as vítimas. De qualquer forma, por que não executar uma verificação antivírus? Melhor prevenir do que remediar.

Fonte Kaspersky

Malware Fireball já infectou mais de 24 milhões de PCs no Brasil

países mais afetadosPesquisadores da empresa de segurança Check Point descobriram um malware chamado Fireball. As informações, postadas hoje no site oficial da companhia, dizem que o malware já infectou mais de 250 milhões de computadores no mundo — e mais de 24 milhões apenas no Brasil. Os sistemas operacionais afetados são Windows e Mac OS.

Segundo os pesquisadores, o Fireball é um pacote de adware que tem a capacidade de controlar totalmente navegadores de internet como Google Chrome, Mozilla Firefox, Safari, Internet Explorer, Microsoft Edge etc. Ao infectar o navegador, o browser se torne um “zumbi”, permitindo que cibercriminosos espionem as atividades do alvo e roubem dados sensíveis.

No que toca aos dados sensíveis, estamos falando de fotos, vídeos, textos, planilhas, senhas de redes sociais, senhas de internet banking etc. A Check Point nota que os rastros do Fireball indicam ligação com uma companhia chinesa chamada Rafotech que, em sua página oficial, diz que faz marketing digital e desenvolve games para mais de 300 milhões de consumidores.

Mais detalhes sobre o malware

Ao que parece, a empresa citada está utilizando o Fireball para injetar propagandas em navegadores e gerar receita com a ação maliciosa. Entre os sinais de infecção, por exemplo, está a alteração de configurações do navegador, como a alteração automática de sua página inicial e sites de busca com mecanismos falsos — um deles, que foi citado no relatório, é o trotux.com.

“Olhando por uma perspectiva técnica, o Fireball emprega técnicas de evasão bem sofisticadas e de alta qualidade, com capacidade anti-detecção, estrutura de camadas múltiplas e C&C flexível”, comentou a Check Point.

Isso significa que, resumidamente, o malware Fireball tem tanto a capacidade de gerar dinheiro para cibercriminosos via propagandas quanto ser um espião/ladrão de dados sensíveis. Não é por menos que, uma ferramenta com tantas pontas como esta, já infectou mais de 250 milhões de computadores no mundo.

Dentro destas 250 milhões de máquinas, 20% operam em redes corporativas. Ou seja, são PCs de empresas, e não de uso doméstico. O país mais afetado até o momento é a Índia, com 25,3 milhões de infecções; enquanto isso, o Brasil é o segundo com 24,1 milhões de PCs tomados. O TOP 5 fecha com México, Indonésia e Estados Unidos, respectivamente.

Como se proteger do Fireball

Apesar do poder destrutivo do Fireball — e de muitas pessoas terem baixado o malware —, ele tem fácil identificação e remoção. Veja: se você consegue definir ou alterar a página inicial do seu navegador (homepage), é familiar com os sites apresentados automaticamente e se lembra de ter instalado todas as extensões presentes na área de configuração, está tudo bem. Do contrário, se qualquer uma dessas questão tiver uma negativa, algum malware pode estar dentro de sua máquina.

Como apagar o malware (para iniciantes): procure por programas desconhecidos no sistema e extensões estranhas no navegador; delete tudo que lhe estranhar. Utilize também um adware cleaner/ferramenta antivírus para escanear o seu computador. Além disso, você pode restaurar o seu navegador para as configurações padrão.

Agora, para evitar a instalação destes adwares, spywares, malwares etc, a melhor ferramenta é você: fique ligado em tudo que você baixa na internet. O principal canal de infecção é o download. Não clique em qualquer link que encontre e sempre levante suspeitas. No mais, quando você realizar algum downlaod, na hora da instalação, sempre busque uma instalação customizada — e não recomendada. Dessa maneira, é possível notar tudo que o software tem acesso.

Lista de domínios maliciosos utilizados pelo Fireball

attirerpage[.]com
s2s[.]rafotech[.]com
trotux[.]com
startpageing123[.]com
funcionapage[.]com
universalsearches[.]com
thewebanswers[.]com
nicesearches[.]com
youndoo[.]com
giqepofa[.]com
mustang-browser[.]com
forestbrowser[.]com
luckysearch123[.]com
ooxxsearch[.]com
search2000s[.]com
walasearch[.]com
hohosearch[.]com
yessearches[.]com
d3l4qa0kmel7is[.]cloudfront[.]net
d5ou3dytze6uf[.]cloudfront[.]net
d1vh0xkmncek4z[.]cloudfront[.]net
d26r15y2ken1t9[.]cloudfront[.]net
d11eq81k50lwgi[.]cloudfront[.]net
ddyv8sl7ewq1w[.]cloudfront[.]net
d3i1asoswufp5k[.]cloudfront[.]net
dc44qjwal3p07[.]cloudfront[.]net
dv2m1uumnsgtu[.]cloudfront[.]net
d1mxvenloqrqmu[.]cloudfront[.]net
dfrs12kz9qye2[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

Agradecemos ao Igor, colaborador amigo do seu micro seguro, por compartilhar conosco dessa notícia.

Fonte: Tecmundo