Fireball El malware que ha infectado a más de 250 millones Ahora el objetivo es tu navegador

Una vez más la descarga gratuita de contenido se ha convertido en una potencial amenaza contra la seguridad de los sistemas, en esta ocasión tanto Windows como Mac OS quedan expuestos y se estima ya que el número de infeccionessupera a las 250 millones de computadoras, todo esto se adjudica a Fireball, un nuevo malware que consta de un paquete de adware el cual toma el control completo de los navegadores web, lo que potencialmente permite a los atacantes espiar el tráfico web de la víctima y robar sus datos.

Los investigadores de Check Point, que descubrieron esta enorme campaña de malware, vincularon la operación a Rafotech, una compañía china que afirma ofrecer aplicaciones de marketing digital y juegos a 300 millones de clientes. Mientras que la compañía utiliza actualmente Fireball para generar ingresos mediante la inyección de anuncios en los navegadores,

Se sospecha que este malware puede convertirse rápidamente en un destructor masivo para causar un incidente significativo de seguridad cibernética en todo el mundo.

India, Brasil, México e Indonesia están entre los países más afectados, pero las infecciones también se han detectado en 5,5 millones de ordenadores y un poco más del 10 por ciento de las redes corporativas en Estados Unidos.

Una vez instalado, el malware agrega complementos de navegador para manipular las configuraciones del navegador web de la víctima para reemplazar sus motores de búsqueda predeterminados y páginas de inicio con motores de búsqueda falsos (trotux.com).

Varios investigadores afirman también que es probable que Rafotech esté utilizando métodos de distribución adicionales, como la difusión de freeware bajo nombres falsos, el spam o incluso la compra de instalaciones de actores de amenazas. El motor de búsqueda falso simplemente redirecciona las consultas de la víctima a Yahoo.com o Google.com e incluye píxeles de seguimiento que recogen la información de la víctima.

Irónicamente, aunque Rafotech no admite que produce secuestradores de navegador y motores de búsqueda falsos, se declara (con orgullo) una exitosa agencia de marketing, alcanzando a 300 millones de usuarios en todo el mundo – coincidentemente similar al número de infecciones estimadas.

Fireball y los navegadores-secuestradores son criaturas híbridas, medio software aparentemente legítimo y medio malware. Desde una perspectiva técnica, Fireball muestra una gran sofisticación y técnicas de evasión de gran calidad, incluyendo capacidades anti-detección, estructura multicapa y un flexible C & C.  Muchos actores de la amenaza desearían tener una fracción del poder de Rafotech, ya que Fireball proporciona una puerta trasera crítica, que puede ser más que explotada.

Se estima que podría ser utilizado como distribuidor para cualquier malware adicional en el futuro.  Sobre la base de la tasa de infección estimada, en tal escenario, una de cada cinco corporaciones en todo el mundo será susceptible a una brecha importante debido a la estrategia de Rafotech.

 

ESPECIFICACIONES GENERALES

NOMBRE: Fireball

DESCRIPCIÓN: Adware

MÉTODO DE DISTRIBUCIÓN: Instalación autorizada por el usuario de aplicaciones relacionadas con navegación, visualizacíon de imágenes o conexión gratuita entre otras.

OBJETIVO DEL ATAQUE: Tanto Windows como Mac OS

 

DIAGRAMA DE INFECCIÓN

1.-El proceso de infección comienza con la instalación autorizada de software proveniente de Rafotech, como puede ser Deal Wifi, Navegador Mustang, “Soso Desktop”, “FVP Imageviewer” o cualquier otro.

2.-En una etapa posterior, el malware será descargado.

3.-El motor de búsqueda de los usuarios y las páginas de inicio se cambian por un motor de búsqueda Rafotech que redirecciona todos los resultados de búsqueda a google.com, yahoo.com y más. También la información privada del usuario es recolectada.

4.- Los secuestradores del navegador se utilizan oficialmente para la publicidad dirigida y la iniciación de tráfico a los motores de búsqueda. En este momento ya son capaces de permitir la ejecución de código y otras actividades maliciosas.

 

DETECCIÓN Y ELIMINACIÓN

La eliminación de Firewall, como la de casi cualquier adware es simple.

PARA WINDOWS

Desinstale el adware quitando la aplicación de la lista Programas y características del Panel de control de Windows.

PARA MAC OS

Utilice el Finder para localizar las Aplicaciones Arrastre el archivo sospechoso a la Papelera. Vacíe la papelera.    Nota – Un programa utilizable no siempre está instalado en la máquina y por lo tanto no se puede encontrar en la lista de programas.    Escanee y limpie su máquina usando: Software anti-malware Adware software de limpieza.

En Safari: 

  1. Asegúrese de que el navegador está activo.
  2. Haga clic en la pestaña Safari y seleccione las preferencias. Se abre una nueva ventana.
  3. Seleccione la pestaña Extensiones.
  4. Ubique y desinstale cualquier extensión sospechosa.

Restaure su navegador de Internet a su configuración predeterminada:

En Google Chrome: 

  1. Haga clic en el icono de menú de Chrome y seleccione Configuración.
  2. En la sección En el inicio, haga clic en Definir páginas.
  3. Elimine las páginas maliciosas de la lista de páginas de inicio.
  4. Busque la opción Mostrar botón Inicio y seleccione Cambiar.
  5. En el campo Abrir esta página, elimine la página del motor de búsqueda maliciosa.
  6. En la sección Buscar, seleccione Administrar motores de búsqueda.
  7. Seleccione la página del motor de búsqueda maliciosa y elimínela de la lista.

En Internet Explorer: 

  1. Seleccione la pestaña Herramientas y seleccione Opciones de Internet. Se abre una nueva ventana.
  2. En la ficha Avanzadas, seleccione Restablecer. Active la casilla Eliminar configuraciones personales.
  3. Haga clic en el botón Restablecer.

En Mozilla Firefox: 

  1. Habilite la barra de menús del navegador haciendo clic en el espacio en blanco cerca de las pestañas de la página.

segundo. Haga clic en la pestaña Ayuda y vaya a Información de solución de problemas. Se abre una nueva ventana.

  1. Seleccione Restablecer Firefox.

En Safari:

  1. Seleccione la pestaña Safari y seleccione Preferencias. Se abre una nueva ventana.
  2. En la pestaña Privacidad, el botón Administrar datos del sitio web …. Se abre una nueva ventana.
  3. Haga clic en el botón Quitar todo.

 

INDICADORES DE COMPROMISO

ALIAS

Ad-Aware:-(Gen:Variant.Johnnie,

Gen:Variant.Symmi,

Gen:Variant.Zusy,

Gen:Variant.Mikey)
AegisLab:-(Troj.Generickd!c,

Gen.Variant.Zusy!c,

Adware.W32.Elex!c
AhnLab-V3:-(PUP/Win32.ELEX)
ALYac:-(Gen:Variant.Johnnie)
Arcabit:-(Trojan.Johnnie),

Trojan.Symmi,

Trojan.Zusy,

Trojan.Mikey,

Trojan.Adware.Graftor,

Adware.Generic)
Avast:-(Win32:Adware-gen [Adw])
AVG:-(Generic7.BSRM, Elex.APU)
Avira (no cloud):-(ADWARE/Adware.Gen7)
CAT-QuickHeal:-(Pua.Elex)
Comodo:-(Application.Win32.BrowseFox.qqtbw)
ESET-NOD32:-(a variant of Win32/Adware.ELEX.AD)
Fortinet:-(Riskware/Elex)
F-Secure:-(Gen:Variant.Adware.Graftor,

Gen:Variant.Adware.Zusy,

Adware:W32/Elex)
K7AntiVirus:-(Adware)
K7AntiVirus:-(Riskware)
Kaspersky:-(not-a-virus:AdWare.Win32.ELEX.ads)
Kaspersky:-(HEUR:Trojan.Win32.Generic
McAfee:-(RDN/Generic PUP.x,

Artemis!84DCB96BDD84,

Win32.Generic.cm,

Win32.Dropper,

Win32.Downloader)
Panda:-(Trj/GdSda.A)
Sophos:-(Generic PUA AD)
TrendMicro:-(TROJ_GEN.R002C0EAT17)
Webroot:-(W32.Adware.Gen)
Yandex:-(PUA.Agent!)
Yandex:-(PUA.ELEX!)

 Direcciones C&C

attirerpage[.]com

s2s[.]rafotech[.]com

trotux[.]com

startpageing123[.]com

funcionapage[.]com

universalsearches[.]com

thewebanswers[.]com

nicesearches[.]com

youndoo[.]com

giqepofa[.]com

mustang-browser[.]com

forestbrowser[.]com

luckysearch123[.]com

ooxxsearch[.]com

search2000s[.]com

walasearch[.]com

hohosearch[.]com

yessearches[.]com

d3l4qa0kmel7is[.]cloudfront[.]net

d5ou3dytze6uf[.]cloudfront[.]net

d1vh0xkmncek4z[.]cloudfront[.]net

d26r15y2ken1t9[.]cloudfront[.]net

d11eq81k50lwgi[.]cloudfront[.]net

ddyv8sl7ewq1w[.]cloudfront[.]net

d3i1asoswufp5k[.]cloudfront[.]net

dc44qjwal3p07[.]cloudfront[.]net

dv2m1uumnsgtu[.]cloudfront[.]net

d1mxvenloqrqmu[.]cloudfront[.]net

dfrs12kz9qye2[.]cloudfront[.]net

dgkytklfjrqkb[.]cloudfront[.]net

dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

HASHES

FAB40A7BDE5250A6BC8644F4D6B9C28F

69FFDF99149D19BE7DC1C52F33AAA651

B56D1D35D46630335E03AF9ADD84B488

8C61A6937963507DC87D8BF00385C0BC

7ADB7F56E81456F3B421C01AB19B1900

84DCB96BDD84389D4449F13EAC75098

2B307E28CE531157611825EB0854C15F

7B2868FAA915A7FC6E2D7CC5A965B1E

 

CONCLUSIÓN

Aunque la distribución de Fireball es maliciosa e ilegítima, en realidad lleva certificados digitales que les dan una apariencia legítima.  Rafotech ha sido extremadamente cuidadoso en mantenerse al borde de la legitimidad, sabiendo que la distribución de adware no se considera un crimen como la distribución de malware.

 ¿Como es que lo ha hecho? Muchas empresas ofrecen software o servicios de forma gratuita, y producen sus ganancias mediante la recolección de datos o la presentación de anuncios. Una vez que un cliente acepta la instalación de funciones o software adicionales en su computadora, es difícil reclamar una intención maliciosa en nombre del proveedor.  Esta zona gris llevó al nacimiento de un nuevo tipo de método de monetización: El empaquetado. Un programa deseado instala otro programa junto con él, a veces con la autorización de un usuario y en ocasiones sin él. Rafotech utiliza el empaquetado en el volumen alto para el caso de Fireball.

Por todo caso, esto viene a afectar negativamente la oferta de software libre sin intenciones maliciosas, ya que los usuarios lo pensarán dos veces puesto que Fireball viene a fundamentar el hecho de que los ingresos siempre provendrán de alguna manera para quien desarrolla.

Share with your friends










Submit
Tags: