Fireball: il malware cinese che ha infettato 250 milioni di PC

Giu 01, 2017 Marco Schiaffino In evidenza, Malware, Minacce, News, RSS, Trojan 2

Il malware dirotta il traffico del browser, ma è anche in grado di eseguire codice in remoto installando qualsiasi cosa sul PC. Il 22,4% delle aziende italiane ha almeno un computer infetto.

Non servono gli strumenti dell’NSA per infettare milioni di computer e a dimostrarlo al mondo ci ha pensato Fireball, un malware individuato dalla società di sicurezza Check Point che sarebbe diffuso su tutto il pianeta.

La stima è di 250 milioni di computer infetti in tutto il mondo, trasformati in “zombie” che rispondono ai comandi di una rete di server Command and Control. Secondo quanto riportato dai ricercatori di Check Point, l’operazione è stata orchestrata da una società di marketing con sede a Pechino chiamata Rafotech, che agisce (quasi) alla luce del sole.

Normalmente, quelli distribuiti da Rafotech sarebbero considerati più che altro degli adware, cioè quei programmi che visualizzano pubblicità indesiderate per garantire un guadagno al loro autore.

Secondo i ricercatori di Check Point, però, le caratteristiche di Fireball sono tali da fargli attraversare il confine (spesso labile) tra semplice adware e vero e proprio malware.

Fireball viene distribuito principalmente attraverso due prodotti software della stessa Rafotech: Deal Wifi e Mustang Browser. Il primo promette connessioni Wi-Fi gratuite (non si capisce bene come) mentre il secondo è un browser che promette una navigazione veloce e, soprattutto, garantirebbe la protezione (sigh) da malware e siti Web pericolosi.

Navigare gratis sfruttando una rete di Wi-Fi? Beh, credere alle favole non costa nulla… finché non installa un malware.

Secondo i ricercatori, però, per diffondere Fireball Rafotech potrebbe usare anche altri vettori, sempre attraverso la logica del bundle con software gratuiti disponibili per il download su siti Internet a volte insospettabili.

Una volta installato sul computer, Fireball si comporta come qualsiasi altro fastidioso adware, modificando le impostazioni del browser riguardanti la pagina iniziale e il motore di ricerca. Lo scopo, come sempre, è quello di permettere al suo autore (in questo caso Rafotech) di guadagnare dirottando gli utenti su pagine sponsorizzate e banner pubblicitari.

Ufficialmente, Rafotech è una società di marketing. Sul suo sito ufficiale promette di poter raggiungere più di 300 milioni di utenti. E ora abbiamo anche capito come…

Il problema è che il malware integra anche un’altra funzione che i normali adware non hanno: quella di eseguire codice in remoto scaricandolo dai server di Rafotech. Potenzialmente, quindi, l’azienda cinese potrebbe inondare i 250 milioni di computer su cui Fireball è installato con qualsiasi tipo di malware vogliano distribuire.

Se si considera che, in base ai dati forniti da Check Point, ci sarebbe almeno un computer infetto nel 20% delle aziende a livello mondiale (in Italia il dato sarebbe del 22,4%) è facile capire quale sia la gravità della situazione. Anche se, per il momento, è impossibile sapere se Fireball sia stato usato comebackdoor per portare attacchi mirati.

Secondo i rilevamenti di Check Point, il paese più colpito sarebbe l’India. Anche USA, Brasile; Portogallo e Italia però non se la passano molto bene.

Forse, però, il fatto più inquietante è che là fuori ci siano 250 milioni di persone che non hanno trovato nulla di strano nel fatto che il loro browser abbia improvvisamente cominciato a visualizzare una pagina iniziale diversa dalla solita, abbia modificato il motore di ricerca e che non ci sia modo di cambiarne le impostazioni.

Condividi l'articolo