Sicherheitsforscher von Check Point® Software Technologies Ltd. haben einen neuen Schädling mit dem Namen Fireball entdeckt. Mit der auf über 250 Millionen Systemen verteilten Software könnten Cyberkriminelle weltweit Cyberattacken starten. Hier ein paar Informationen, die mir von Check Point zur Verfügung gestellt wurden.
Anzeige
Bei Fireball handelt es sich um sogenannte Adware, die Werbeeinnahmen für den Urheber generieren soll. Hinter der Schadsoftware Fireball steckt die chinesische Marketing Agentur Rafotech in Peking.
Fireball von chinesischer Firma Rafotech
Rafotech ist auf digitales Marketing spezialisiert und nutzt Fireball, um durch Manipulation Anzeigenklicks zu erzeugen. Dabei kapern sie den den Online-Traffic der Nutzer und generieren so Umsatz durch Werbeeinnahmen. Aktuell werden vor allem Plug-Ins und weitere Konfigurationen installiert. Damit bewegt sich die Agentur in China in einer rechtlichen Grauzone.
Rafotech manipuliert Browser und leitet die Suchaufträge zu yahoo.com und google.com weiter. Die Agentur selbst gibt zu, Browser zu hijacken und Suchmaschinen zu manipulieren. Weltweit würde sie 300 Millionen Nutzer erreichen, was fast der gleichen Anzahl der infizierten Systeme entspricht.
Verbreitungswege
Die Malware wird im Bundle mit anderer Software verteilt, so dass sich die Nutzer diese selbst auf das System holen.
Anzeige
(Infektionswege – Quelle: Check Point)
An Software werden Deal Wifi, Mustang Browser, Soso Desktop oder FVP Imageviewer genannt. Die Software klinkt sich als Browser-Hijacker als Erweiterung in den Browser ein und ersetzt die voreingestellte Suchmaschine.Sucht man nach Deal Wifi, ist diese Malware aber seit längerem bekannt, wie man hier und hier nachlesen kann. Wer nach den anderen Begriffen sucht, wird im Web ebenfalls fündig. Check Point gibt aber an, dass Rafotech auch weitere Freeware mit der Malware versehen haben könne. Auch wäre eine Kooperation mit anderen Anbieter möglich.
(Infektionen – Quelle: Check Point)
Die Top-Länder mit Infektionen sind Indien (10,1%) und Brasilien (9.6%). Aber auch die USA und Mexiko sind gut vertreten. Europa ist auch dabei. Ob man befallen ist, erkennt man sehr einfach. Wurde die Startseite und der Standardsuchanbieter selbst gesetzt? Lassen sich diese im Browser ändern? Falls sich diese Vorgaben immer wieder zurückstellen, ist ein Indiz für eine Infektion. Auf dieser Webseite gibt Check Point Details zur Schadsoftware bekannt und liefert auch Hinweise, wie die Schadsoftware auf Windows oder macOS entfernt werden kann.
Von Adware zu Malware
Das Problem an Fireball ist nicht nur die Browserumleitung. Die Software kann sich in eine Malware verwandeln, denn mit den Funktionen kann auf den gekaperten Systemen auch Schadcode ausgeführt werden. Darüber hinaus lässt sich weitere bösartige Malware auf die befallenen Geräte laden. Neben der Ausspionierung der Opfer sind die Angreifer in der Lage, weitere Schädlinge auf den Endpunkten zu installieren.
Speziell in Unternehmensnetzwerken wäre das ein Problem, da dort der Sprung auf weitere Rechner durch die Malware ermöglicht wird. Check Point gibt an, dass jedes 20. Unternehmensnetzwerk weltweit befallen sei. Bei heise.de weist man in diesem Artikel darauf hin, dass durch Fireball eine Backdoor in jedem 10. deutschen Unternehmensnetzwerk existiere.
Bei der Recherche haben die Sicherheitsforscher von Check Point darüber hinaus weitere Firmen ausfindig gemacht, die mit ähnlichen Geschäftsmodellen arbeiten. Hier steht zu Befürchten, dass dieses Thema demnächst häufiger aufkommen wird, wenn Cyberkriminelle sich diese Tools zu nutze machen. Weitere Details lassen sich in diesem Check Point-Blog-Beitrag nachlesen.
Anzeige
Fireball – Rafotech – Malware
Was sind denn das für Firmen, in denen Mitarbeiter nach Belieben einfach irgendwelche Software installieren können?
Entweder ist die Story zweifelhaft oder diese Firmen sind solche Klitschen, dass eine Spionage nicht lohnt.
Ärgerlich ist die Kiste natürlich trotzdem.