Fireball (yazılım) - Fireball (software)

Ateş topu bir tarayıcı korsanlığı kötü amaçlı yazılım güvenlik şirketi tarafından keşfedildi Kontrol Noktası. Hedef tarayıcıları devralır ve onları zombilere dönüştürür.[1][2][3][4][5]

Keşif

Check Point, Fireball kötü amaçlı yazılımını 2017'de keşfettiğini iddia ediyor, ancak Microsoft 2015'ten beri kötü amaçlı yazılımı izlediğini iddia ediyor.[6]

Yazarlık

Kötü amaçlı yazılım, Rafotech adlı bir Çinli şirket tarafından izlendi. Pekin merkezli bir dijital pazarlama ajansıdır. Kullanıcılara sağladıkları meşru yazılımla birlikte paketliyorlar. Rafotech'in Fireball yazılımını bir araya getirdiği programlardan bazıları Deal WiFi, Mustang Browser, SoSoDesk ve FVP Image Viewer'dır.[7]

Rafotech, dünya çapında 300 milyon kullanıcıya (tahmini virüs bulaşma sayısına benzer) sahip olduğunu iddia ediyor, ancak bu sahte arama motorlarını kullandığını reddediyor. Güvenlik araştırmacıları, Rafotech'in diğer tehdit aktörlerinden ek dağıtım araçları satın almış olabileceğine dikkat çekerek bu iddiaya itiraz ediyor.[6] Sahte arama motorları, 14'ü ilk 10.000 web sitesi arasında yer alırken bazıları ilk 1.000'e ulaşmasıyla popülerdir.[7]

İç işler

Kötü amaçlı yazılım, reklam geliri elde etmek için kurban bilgisayarlarda rastgele bir dosya indirme ve virüslü kullanıcının web trafiğini ele geçirme ve değiştirme gibi herhangi bir kodu çalıştırma yeteneğine sahiptir. Reklamlarını güçlendirmek için eklentiler ve ek yapılandırmalar yükler ve herhangi bir ek kötü amaçlı yazılım için bir dağıtıcıya dönüşme potansiyeline sahiptir. Kötü amaçlı yazılım çoğunlukla şu yolla yayılır: paketleme. Kurbanın makinesine, istenen bir programın yanı sıra, genellikle kullanıcının izni olmadan yüklenir.[2] Yazılımın üreticisi olarak dijital pazarlama ajansı Rafotech belirtildi. Aynı şirket, sorguları yahoo.com veya google.com'a yönlendiren sahte arama motorları barındırmakla suçlanıyor. Sahte arama motorları, kullanıcılardan özel bilgi toplamak için kullanılan izleme piksellerini içerir. Fireball, virüs bulaşmış tarayıcıları manipüle eder ve varsayılan arama motorlarını ve ana sayfalarını, yazılımın virüslü tarayıcıların kullanıcılarını gözetlemesini sağlayan yukarıda belirtilen sahte arama motorlarına dönüştürür.

Fireball kötü amaçlı yazılımı, birlikte verilen yazılımın genel özelliklerine uymuyor. Check Point, "Kötü amaçlı yazılımlar ve sahte arama motorları kendilerini Rafotech'e bağlayan göstergeler taşımazlar, sıradan bir kullanıcı tarafından kaldırılamazlar ve gerçek doğalarını gizlerler." Ayrıca, Fireball "algılama önleme yetenekleri, çok katmanlı yapı ve esnek bir C&C dahil olmak üzere mükemmel karmaşıklık ve kalite kaçınma teknikleri sergiliyor."[8]

Bir başka aldatma da meşru görünen Dijital sertifikalar. Rafotech'in sahte arama motorları ve kötü amaçlı yazılımın kendisi hiçbir belirleyici işaret taşımaz.[8]

Program, rastgele kod çalıştırma, uygulamaları indirme ve bankacılık ve tıbbi ayrıntılar gibi daha hassas bilgileri toplama yeteneğine sahiptir. Siber suçlular, yeni kötü amaçlı yazılım türleri oluşturmak için kaynak kodundan yararlanabilir.[6]

Enfeksiyonlar

Dünya çapında 250 milyon bilgisayara bulaştığı tahmin edilmektedir. Check Point araştırmaları ayrıca bu kötü amaçlı yazılımın kurumsal ağların% 20'sindeki bilgisayarlara bulaşmış olabileceğini ve bu da onu yüksek hacimli bir internet tehdidi haline getirdiğini iddia ediyor. Bu kaynağa göre, en yüksek enfeksiyon oranları Endonezya, Hindistan ve Brezilya'da tespit edildi. İlgili tarayıcı korsanlarının işlemlerinin muhtemelen tarihteki en büyük bulaşma işlemini oluşturduğu tahmin edilmektedir.[1]

Tablo 1 Fireball kötü amaçlı yazılımına en çok bulaşan ülkeler

Ülke% enfekteEnfeksiyon sayısı (milyon olarak)İsabet oranı
Hindistan10.1%25.343%
Brezilya9.6%24.138%
Meksika6.4%16.1Yok
Endonezya5.2%13.160%
BİZE2.2%5.510.7%

Microsoft'a göre bu sayılarla ilgili bazı anlaşmazlıklar var, kötü amaçlı yazılımları 2015'ten beri izliyor. Sonuçları, Windows Defender ve Kötü Amaçlı Yazılımları Temizleme Aracı tarafından temizlenen Fireball bulaşmalarına dayanıyor. Toplanan verilere göre toplam enfeksiyon sayısı 40 milyondur. Check Point araştırmacıları, cihazın kendisine değil, kötü amaçlı yazılım taşıyan arama sayfalarına yapılan ziyaretlerin sayısını kullandı.[6]

Referanslar

  1. ^ a b "FIREBALL - Etkilenen 250 Milyon Bilgisayarda Çin Kötü Amaçlı Yazılım". Kontrol Noktası. Haziran 2017. Arşivlenen orijinal 2017-06-07 tarihinde. Alındı 2017-06-02.
  2. ^ a b Leyden, John (2 Haziran 2017). "Tanrı aşkına, harika Çin" Ateş Topu "kötü amaçlı yazılımı dünya çapında 250 milyon sistemi etkiledi". Kayıt. Arşivlenen orijinal 2017-06-07 tarihinde. Alındı 2017-06-02.
  3. ^ Morris, David (3 Haziran 2017). "Hack Brief: Tehlikeli 'Ateş Topu' Reklam Yazılımları Çeyrek Milyar PC'ye Bulaşıyor". Servet. Arşivlenen orijinal 2017-06-08 tarihinde. Alındı 2017-06-08.
  4. ^ Greenberg, Andy (2 Haziran 2017). "Hack Brief: Tehlikeli 'Ateş Topu' Reklam Yazılımları Çeyrek Milyar PC'ye Bulaşıyor". Kablolu. Arşivlenen orijinal 2017-06-08 tarihinde. Alındı 2017-06-08.
  5. ^ Loeb, Larry (5 Haziran 2017). "Fireball Kötü Amaçlı Yazılımları Tüm Dünyada Patlıyor". Güvenlik İstihbaratı. Arşivlenen orijinal 2017-06-08 tarihinde. Alındı 2017-06-08.
  6. ^ a b c d "Ateş Topu Kötü Amaçlı Yazılım: Saatli Bomba mı yoksa Tamamen Sıcak Hava mı?". Güvenlik İstihbaratı. Alındı 2017-07-01.
  7. ^ a b "Fireball Kötü Amaçlı Yazılım 250 Milyon Bilgisayarı Etkiliyor | SecurityWeek.Com". www.securityweek.com. Alındı 2017-07-01.
  8. ^ a b "Fireball Kötü Amaçlı Yazılımları Tüm Dünyada Patlıyor". Güvenlik İstihbaratı. Alındı 2017-07-01.