E lá vamos nós de novo, após o grande estardalhaço causado pelo ransomware WannaCry, temos uma nova ameaça que está fazendo milhões de vítimas ao redor do mundo, o malware Fireball, descoberto pela empresa de segurança Check Point. Diferentemente do WannaCry, o Fireball não é um ransomware, e sim um adware, ao infectar o computador, mais precisamente através dos navegadores, a máquina se torna “zumbi”com o intuito que o tráfego web seja manipulado para os que cibercriminosos consigam ganhar dinheiro através de uma enxurrada de anúncios. Até o momento mais de 250 milhões de computadores já foram infectados.
De acordo com a Check Point o Fireball já infectou comprometeu cerca de 26% de PCs de redes corporativas espalhadas pelo mundo. Dentre os países mais afetados a Índia aparece em primeiro lugar (25,3 milhões de PCs infectados) seguido pelo Brasil, com 24,1 milhões de PCs infectados. Os sistemas operacionais afetados sao Windows e Mac OS. O método de distribuição do malware utiliza a clássica tática de softwares que acabam sendo instalados juntos com aquele que você desejava, e como realmente muitos não prestam atenção ao processo de instalação, acabam levando essas “prendas”. Na China por exemplo, o vírus está sendo distribuido em conjunto com Deal Wi-Fi, Mustang Browser, Soso desktop, FVP Imageviewer, entre outros.
A agência digital chinesa Rafotech é a responsável pela ameaça. A ideia da empresa foi criar uma ameaça que substituísse os motores de busca padrão dos navegadores por alguma opção pré-determinada como o trotux.com. Segundo dados da Alexa 14 dos motores de busca falsos utilizados pela Rafotech estão entre as 100.000 páginas mais populares. Confira abaixo a lista completa dos domínios utilizados pelo Fireball:
attirerpage[.]com
s2s[.]rafotech[.]com
trotux[.]com
startpageing123[.]com
funcionapage[.]com
universalsearches[.]com
thewebanswers[.]com
nicesearches[.]com
youndoo[.]com
giqepofa[.]com
mustang-browser[.]com
forestbrowser[.]com
luckysearch123[.]com
ooxxsearch[.]com
search2000s[.]com
walasearch[.]com
hohosearch[.]com
yessearches[.]com
d3l4qa0kmel7is[.]cloudfront[.]net
d5ou3dytze6uf[.]cloudfront[.]net
d1vh0xkmncek4z[.]cloudfront[.]net
d26r15y2ken1t9[.]cloudfront[.]net
d11eq81k50lwgi[.]cloudfront[.]net
ddyv8sl7ewq1w[.]cloudfront[.]net
d3i1asoswufp5k[.]cloudfront[.]net
dc44qjwal3p07[.]cloudfront[.]net
dv2m1uumnsgtu[.]cloudfront[.]net
d1mxvenloqrqmu[.]cloudfront[.]net
dfrs12kz9qye2[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe
Além de controlar o comportamento de browsers como Google Chrome, Mozilla Firefox, Internet Explorer, entre outros, a ameaça abre brechas para que a vítima possa ser espionada e que algum malware adicional seja instalado.
Recomendações da Chek Point para se livrar do Fireball:
– Procurar o Fireball na lista de softwares instalados no computador, e fazer a remoção
– Executar alguma ferramenta de limpeza de adware
– Resetar as configurações do navegador