![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher von Check Point\u00ae Software Technologies Ltd. haben einen neuen Sch\u00e4dling mit dem Namen Fireball entdeckt. Mit der auf \u00fcber 250 Millionen Systemen verteilten Software k\u00f6nnten Cyberkriminelle weltweit Cyberattacken starten. Hier ein paar Informationen, die mir von Check Point zur Verf\u00fcgung gestellt wurden.<\/p>\n
<\/p>\n
Bei Fireball handelt es sich um sogenannte Adware, die Werbeeinnahmen f\u00fcr den Urheber generieren soll. Hinter der Schadsoftware Fireball steckt die chinesische Marketing Agentur Rafotech in Peking.<\/p>\n
Rafotech ist auf digitales Marketing spezialisiert und nutzt Fireball, um durch Manipulation Anzeigenklicks zu erzeugen. Dabei kapern sie den den Online-Traffic der Nutzer und generieren so Umsatz durch Werbeeinnahmen. Aktuell werden vor allem Plug-Ins und weitere Konfigurationen installiert. Damit bewegt sich die Agentur in China in einer rechtlichen Grauzone.<\/p>\n
Rafotech manipuliert Browser und leitet die Suchauftr\u00e4ge zu yahoo.com und google.com weiter. Die Agentur selbst gibt zu, Browser zu hijacken und Suchmaschinen zu manipulieren. Weltweit w\u00fcrde sie 300 Millionen Nutzer erreichen, was fast der gleichen Anzahl der infizierten Systeme entspricht.<\/p>\n
Die Malware wird im Bundle mit anderer Software verteilt, so dass sich die Nutzer diese selbst auf das System holen.<\/p>\n
![](\"https:\/\/web.archive.org\/web\/20221220152131\/https:\/\/blog.checkpoint.com\/wp-content\/uploads\/2017\/05\/figure-1.png\")
\n(Infektionswege \u2013 Quelle: Check Point)<\/p>\n
An Software werden Deal Wifi<\/em>, Mustang Browser<\/em>, Soso Desktop<\/em> oder FVP Imageviewer<\/em> genannt. Die Software klinkt sich als Browser-Hijacker als Erweiterung in den Browser ein und ersetzt die voreingestellte Suchmaschine.Sucht man nach Deal Wifi, ist diese Malware aber seit l\u00e4ngerem bekannt, wie man hier und hier<\/a> nachlesen kann. Wer nach den anderen Begriffen sucht, wird im Web ebenfalls f\u00fcndig. Check Point gibt aber an, dass Rafotech auch weitere Freeware mit der Malware versehen haben k\u00f6nne. Auch w\u00e4re eine Kooperation mit anderen Anbieter m\u00f6glich. Die Top-L\u00e4nder mit Infektionen sind Indien (10,1%) und Brasilien (9.6%). Aber auch die USA und Mexiko sind gut vertreten. Europa ist auch dabei. Ob man befallen ist, erkennt man sehr einfach. Wurde die Startseite und der Standardsuchanbieter selbst gesetzt? Lassen sich diese im Browser \u00e4ndern? Falls sich diese Vorgaben immer wieder zur\u00fcckstellen, ist ein Indiz f\u00fcr eine Infektion. Auf dieser Webseite<\/a> gibt Check Point Details zur Schadsoftware bekannt und liefert auch Hinweise, wie die Schadsoftware auf Windows oder macOS entfernt werden kann.<\/p>\n Das Problem an Fireball ist nicht nur die Browserumleitung. Die Software kann sich in eine Malware verwandeln, denn mit den Funktionen kann auf den gekaperten Systemen auch Schadcode ausgef\u00fchrt werden. Dar\u00fcber hinaus l\u00e4sst sich weitere b\u00f6sartige Malware auf die befallenen Ger\u00e4te laden. Neben der Ausspionierung der Opfer sind die Angreifer in der Lage, weitere Sch\u00e4dlinge auf den Endpunkten zu installieren.<\/p>\n Speziell in Unternehmensnetzwerken w\u00e4re das ein Problem, da dort der Sprung auf weitere Rechner durch die Malware erm\u00f6glicht wird. Check Point gibt an, dass jedes 20. Unternehmensnetzwerk weltweit befallen sei. Bei heise.de weist man in diesem Artikel<\/a> darauf hin, dass durch Fireball eine Backdoor in jedem 10. deutschen Unternehmensnetzwerk existiere.<\/p>\n Bei der Recherche haben die Sicherheitsforscher von Check Point dar\u00fcber hinaus weitere Firmen ausfindig gemacht, die mit \u00e4hnlichen Gesch\u00e4ftsmodellen arbeiten. Hier steht zu Bef\u00fcrchten, dass dieses Thema demn\u00e4chst h\u00e4ufiger aufkommen wird, wenn Cyberkriminelle sich diese Tools zu nutze machen. Weitere Details lassen sich in diesem Check Point-Blog-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von Check Point\u00ae Software Technologies Ltd. haben einen neuen Sch\u00e4dling mit dem Namen Fireball entdeckt. Mit der auf \u00fcber 250 Millionen Systemen verteilten Software k\u00f6nnten Cyberkriminelle weltweit Cyberattacken starten. Hier ein paar Informationen, die mir von Check Point zur … Weiterlesen ![](\"https:\/\/web.archive.org\/web\/20221220152132\/https:\/\/blog.checkpoint.com\/wp-content\/uploads\/2017\/05\/map1.png\")
\n(Infektionen \u2013 Quelle: Check Point)<\/p>\nVon Adware zu Malware<\/h2>\n