翻译:360代码卫士
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
Check Point公司的研究人员告警称,在位于北京的数字营销公司卿烨科技 (Rafotech) 运行的一次大规模传播活动中发现了一款恶意软件“火球(Fireball)”,它设法感染了全球2.5亿台计算机。
“火球”恶意软件的危害
“火球”能控制目标浏览器、在受害者计算机上运行任意代码并监控受害者。这样其操纵者就能够将任意文件或恶意软件下载到设备上并同时控制受感染用户的网络流量谋取广告收益。
研究人员指出,目前“火球”通过安装插件和其它配置来为广告造势,但同时他也能成为任何附加恶意软件的重要传播器。
卿烨科技在“火球”的帮助下能够控制受害者的浏览器并将搜索引擎和主页替换为伪造的搜索引擎,将查询重定向到Yahoo.com或Google.com,并通过追踪包含在虚假搜索引擎中的像素收集受害者的私人信息。
卿烨科技伪造的搜索引擎非常受欢迎,其中14个位列前10000个网站名单,其中一些还能排到前1000名。尽管该公司否认使用了浏览器劫持器和伪造的搜索引擎,但该公司声称在全球的用户由3亿,这个数字跟受感染的计算机数量很接近。
截至目前,“火球”已感染全球超过2.5亿台计算机,主要是通过跟合法程序捆绑进行传播。受影响最大的是印度(2530万次感染)和巴西(2410万次感染),其次为墨西哥(1610万次)和印尼(1310万次)。位于美国的受感染机器数量总计为550万台。
研究人员还表示,20%的企业网络受影响,其中受影响最大的是印尼 (60%)、印度 (43%)和巴西 (38%)。而美国受影响的比率是10.7%、中国是4.7%。
“火球”恶意软件的传播途径
作为一个浏览器劫持器,“火球”能将受害者赶到恶意网站上、实施监控并将恶意软件成功地释放到受害者机器上。“火球”还“显示出强大的复杂和高质量的逃避技术,包括反检测能力、多层结构以及灵活的C&C”。这样,“火球”就给卿烨科技提供了一个后门可供进一步利用。
通过使用数字证书,“火球”的传播看似是合法的,而且“卿烨科技小心谨慎地游走在法律的边缘”。为此,该公司使用了捆绑的方式也就是在经用户同意或未经用户同意的情况下,通过合法程序安装额外的软件。
然而,卿烨科技的传播方式遵循的并非是合法的标准。“火球”及其伪造的搜索引擎并未显示出能够连接到卿烨科技公司。普通用户无法卸载它们,而它们隐藏了自己的本质。
为达到传播目的,“火球”据称跟其它卿烨科技产品绑定到了一起如Deal Wifi和Mustang Browser(野马浏览器)或Soso Desktop(搜搜桌面)、FVP Imageviewer (FVP图像查看器)和其它来自免费软件传播器的软件。免费软件的传播以伪造名称、垃圾信息或甚至从威胁方购买安装也对其传播起到了推波助澜的作用。
后记
研究人员指出,有必要记住的一点是,当用户安装免费软件时,并不一定要释放额外的恶意软件。如果用户下载了可疑的免费软件且没有发生节外生枝的事情,那也并不意味着后台什么都没有发生。
研究人员还在其他公司发现了类似的其它浏览器劫持器如ELEX技术公司。该公司构建的软件跟卿烨科技的类似而且有可能而这有关联(或者在劫持器传播方面或交易消费者数据方面类似)。
由于掌握有敏感信息,“火球”和其它类似浏览器劫持器能为全球用户和组织机构带来巨大威胁,如果卿烨科技及类似公司决意这么做的话更是如此。它们能够窃取银行和信用卡凭证、医疗文件、专利和商业计划以及其他类型的敏感信息。
虽然这并非典型的恶意软件攻击,但这次活动有着巨大的伤害能力且应该得以阻止。研究人员为Windows和Mac用户提供了如何删除这款恶意软件和扩展的指南。