Fireball Realiza a Maior Campanha de Adware que o Mundo Já Viu, Dizem Pesquisadores
'Adware é malware com uma equipe legal,' guru da infosec e ávido usuário do Twitter SwiftOnSecurity disse uma vez. Os próximos dias devem ser bastante ocupados para a equipe jurídica da Rafotech, uma empresa chinesa de marketing digital e desenvolvedor de aplicativos. Isso porque, segundo a Check Point, a Rafotech é responsável pelo Fireball, um seqüestrador de navegador que afetou um quarto de bilhão de bilhões de computadores em todo o mundo.
Os pesquisadores dizem que o Fireball usa o método de distribuição de adware mais comum - o agrupamento. Agrupar significa empurrar programas indesejados ao lado de legítimos (na maioria dos casos gratuitos) e procurar a suposição dos usuários de que a instalação do software envolve clicar no botão Avançar várias vezes. Os especialistas da Check Point disseram em seu blog que o Fireball foi fornecido com os produtos da Rafotech, o Mustang Browser e o Deal Wifi, e com o Soso Desktop e o FVP Imageviewer, software desenvolvido por outros fornecedores. Os pesquisadores também publicaram uma captura de tela que mostra como uma pessoa que usa um email @ rafotech.com deseja comprar instalações em todo o mundo.
Captura de tela usando o email @ rafotech.com para comprar tráfego de adware
Ainda não se sabe se foi pago algum dinheiro pelo envio agressivo de software indesejado aos usuários de computadores, e é preciso dizer que o número estimado de sistemas afetados da Check Point se baseia inteiramente em suas próprias pesquisas. Os pesquisadores que os pesquisadores vinculam à Rafotech atraíram bastante tráfego.
A seção Indicadores de Compromisso da postagem do blog da Check Point contém alguns domínios decididamente obscuros como hohosearch[dot]com e trotux[dot]com, e se o Alexa é algo a ser seguido, esses sites são visitados por um número substancial de usuários todos os dias. A maioria dos visitantes está localizada na Índia e no Brasil, o que também está alinhado com a pesquisa da Check Point.
É disso que se trata o Fireball no momento. Seu objetivo é modificar as páginas iniciais, instalar extensões do navegador e redirecionar o tráfego para os mecanismos de busca da Rafotech, com a idéia de aumentar a receita de publicidade da agência de marketing. Os mecanismos de pesquisa também contêm pixels de rastreamento, que dão aos desenvolvedores do Fireball um pouco mais de informações sobre as pessoas cujo tráfego foi invadido.
Não é a coisa mais perigosa que você pode encontrar no seu computador, é preciso dizer. Apesar disso, os pesquisadores da Check Point estão extremamente preocupados. E se tudo o que estão dizendo é verdade, deveriam ser.
Como toda a operação gira em torno da receita de anúncios, classificar o Fireball como algo além de adware pode ser considerado injusto. Os especialistas dizem, no entanto, que o Fireball pode executar código no computador host e que pode ser facilmente convertido de um humilde seqüestrador de navegador em um poderoso ladrão de informações ou conta-gotas de malware. Isso é especialmente preocupante, porque muitos dos sistemas afetados não são computadores domésticos.
De fato, a Check Point calcula que o Fireball pode ser encontrado em 20% de todas as redes corporativas do mundo. O que os pesquisadores estão dizendo é que uma em cada cinco organizações empresariais pode ser facilmente vítima de uma séria violação de dados.
Tudo parece sombrio, e será interessante ver o que Rafotech tem a dizer por si mesmo. Até o momento, a empresa chinesa não divulgou um comunicado. Usuários domésticos e administradores de sistema não devem esperar por uma resposta. O que eles devem fazer é garantir que não haja seqüestradores de navegador em suas máquinas.
Felizmente, determinar se esse é o caso é bastante fácil. Tudo o que você precisa fazer é garantir que sua página inicial não tenha sido tocada, que todas as extensões do navegador tenham sido instaladas manualmente por você e que não haja software suspeito na lista Adicionar/Remover Programas no Painel de Controle. Os usuários do Mac OS também não são seguros. Eles também precisam garantir que seus navegadores não sejam modificados e que podem procurar arquivos desconhecidos na pasta Aplicativos.