Il malware Fireball colpisce 250 milioni di computer in tutto il mondo

Check Point ha scoperto una nuova infezione che ha colpito ad oggi circa 250 milioni di PC. Il software malevolo è stato chiamato Fireball, ed è progettato per manipolare il browser in modo da modificare il motore di ricerca di default e tracciarne il traffico internet per conto di Rafotech, società di marketing digitale con sede a Pechino. Il malware potrebbe anche eseguire da remoto qualsiasi tipologia di codice, scaricare ulteriori file malevoli e, pertanto, arrecare sul sistema danni di ben altra portata oltre a quelli tipici degli adware tradizionali.

Fireball è quindi un malware potenzialmente molto distruttivo, camuffato da qualcosa di più ordinario: "250 milioni di computer possono essere attualmente vittima di un malware vero e proprio", ha dichiarato Maya Horowitz, responsabile del team di ricerca di Check Point. "Installa una backdoor in tutti questi computer che può essere sfruttata in maniera molto, molto semplice dagli informatici cinesi alla base di questa campagna". La maggior parte delle infezioni è dovuta all'installazione di software gratuito che a sua volta contiene il codice malevolo.

Fra gli esempi di app che contengono il nuovo adware cinese vengono fatti Soso Desktop e FVP Imageviewer, di cui alcune versioni disponibili online integrano Fireball. È tuttavia difficile pensare che due app con una diffusione così bassa siano riuscite a spargere l'adware in maniera così consistente, ed è per questo che Check Point suppone che Fireball sia stato diffuso anche con altre tecniche ormai radicate in questi ambienti, come il phishing o altri tool di exploit. Al momento in cui scriviamo, inoltre, Rafotech non ha elargito commenti alla stampa internazionale.

La compagnia di marketing digitale è stata individuata da Check Point tracciando i domini dei server command and control a cui era collegato l'adware. La firma di sicurezza ha inoltre controllato la registrazione dei domini utilizzati sui motori di ricerca con cui veniva modificato quello di default sul browser dei computer infetti (che caricavano i risultati da Google e Yahoo), con i dati scoperti che riconducevano ancora una volta a Rafotech. Con questo trucco la compagnia può produrre fatturato dalle visualizzazioni involontarie degli utenti sulle proprie pagine web.

I motori di ricerca contraffatti utilizzano la tecnica dei pixel traccianti per identificare le macchine infette e monitorare la cronologia di navigazione di circa 250 milioni di utenti su computer differenti. Il numero è stato stimato da Check Point sulla base del traffico misurato da Alexa sui siti di ricerca modificati, ma è probabile che il numero di PC infetti possa essere anche superiore. Allo stadio attuale Fireball è moderatamente aggressivo, solamente una scocciatura come molti altri adware, ma secondo Check Point può trasformarsi in un malware pericoloso.

Gli admin possono infatti trasformare la rete di computer infetti in una botnet, o raccogliere un numero significativo di dati privati degli utenti. Il consiglio è di correre subito ai ripari se il browser carica uno dei siti segnalati dalla società di sicurezza (a questa pagina), o lanciare una scansione anti-virus con un software capace di identificare e ripulire anche gli adware: "Non conosciamo i loro piani e soprattutto se alla base di Fireball ce ne sia davvero uno", ha dichiarato Horowitz. "Ma sembra che abbiano l'opportunità di sfruttare l'adware e portarlo ad un altro livello".