Fireball恶意程序已袭击全球将近2.5亿台PC,背后推手是一家中国电子营销机构

Check Point研究人员最近发现了一款传播范围极广的恶意软件,感染的计算机数量高达2.5亿,包括Windows和macOS。这款恶意软件被命名为Fireball,它能够完全控制受害者的web浏览器,把他们变成“僵尸”,并让攻击者对受害者的流量进行监控,窃取数据。

研究人员发现它背后的公司叫卿烨科技(Rafotech)。这是一家提供电子营销和手机游戏的中国公司,客户多达3亿。这家公司目前用Fireball在用户浏览器中注入广告获利,但实际上Fireball的危害不仅限于此,它完全有能力被利用进行大规模的破坏。

Fireball从何而来

感染流程

Fireball的传播使用了一种中国网民喜闻乐见的方式——捆绑。用户从网上下载安装免费软件后,捆绑的恶意软件就会安装浏览器插件控制受害者的浏览器配置,替换浏览器默认搜索引擎和主页,将之替换成一个假的搜索引擎:trotux.com。

捆绑的软件中有一些是卿烨科技的其他产品,比如Deal Wifi 和野马浏览器或者“Soso Desktop”、“FVP图片查看器”。

“值得注意的是当用户安装免费软件的时候,捆绑软件不一定会同时安装。”研究人员称,“另外,很有可能卿烨科技使用了其他的传播手段,比如以假冒的名称来传播免费软件、使用垃圾邮件甚至是从黑客那里购买安装量。”

替换的假冒搜索引擎只是将用户的搜索请求重定向到雅虎或者google,但植入了追踪的像素,用来收集受害者的信息。

Fireball能够做的事情远远超出正常范围,它能够监控受害者的web流量,在目标系统执行恶意代码、安装插件,甚至直接安装恶意软件,这样就能够在目标系统和网络中留下了巨大的后门。

“从技术的角度来看,Fireball非常复杂精细,有一些绕过杀毒软件和防检测的手段,它使用了多层架构和C&C服务器,这不输任何真正的恶意软件。”研究人员称。

影响范围

“根据我们估计的感染率,1/5的企业会受到大型数据泄露攻击。”

研究人员称,全球范围内有2.5亿台计算机受到影响,其中20%处在企业网络中。受感染的机器遍布各个国家:

印度:2530万 (10.1%) 巴西:2410万 (9.6%) 墨西哥:1610万 (6.4%) 印尼:1310万 (5.2%) 美国:550万 (2.2%)

全球感染率,颜色越深代表感染率越高

很显然,卿烨科技不会承认使用了浏览器劫持和假冒的搜索引擎,在其官网,卿烨科技称它是一家成功的数字媒体公司,在全球拥有3亿用户,讽刺的是这与Check Point所预估的2.5亿感染量不谋而合。

公司背景

基于Check Point的报告,小编也对这家名为“卿烨科技”的公司进行了微小的调查。

工商资料显示,卿烨科技成立于2015年2月,是“数字营销行业的领先跨国公司”。

根据卿烨科技官网的资料,公司的业务主要针对两类客户:出版商和广告商。对出版商提供广告,使媒体“在不新增广告位的前提下大幅增加收益”;针对广告商则是“以云平台和大数据技术做支撑,通过强大的数据挖掘技术快速识别用户,进行精准广告投放,支持多种形式的精准广告定向方式”。

另一块比较重要的板块是游戏,根据卿烨科技官网的介绍,公司旗下拥有四款游戏,并且在海外的应用市场颇受欢迎。

卿烨科技注重游戏的海外分发,往往与当地的公司寻求合作。去年10月,卿烨科技还与Taptica合作,后者帮助在英国推广Piggy Boom游戏。

检测防御

你可以尝试回答以下的这些问题,如果结果都是“不”,那很有可能中招了(即便不是Fireball,也应该是其他流氓软件)

打开浏览器检查

你有没有改过主页? 你能否更改主页? 你对默认的搜索引擎熟悉吗?可以更改吗? 浏览器插件你都认识吗?

要删除这款恶意软件,你只需要卸载相应程序,然后重置浏览器到初始状态。

要进行防范也很简单——安装软件时要格外小心,不要装上捆绑软件。

IoC

C&C地址

attirerpage[.]com s2s[.]rafotech[.]com trotux[.]com startpageing123[.]com funcionapage[.]com universalsearches[.]com thewebanswers[.]com nicesearches[.]com youndoo[.]com giqepofa[.]com mustang-browser[.]com forestbrowser[.]com luckysearch123[.]com ooxxsearch[.]com search2000s[.]com walasearch[.]com hohosearch[.]com yessearches[.]com d3l4qa0kmel7is[.]cloudfront[.]net d5ou3dytze6uf[.]cloudfront[.]net d1vh0xkmncek4z[.]cloudfront[.]net d26r15y2ken1t9[.]cloudfront[.]net d11eq81k50lwgi[.]cloudfront[.]net ddyv8sl7ewq1w[.]cloudfront[.]net d3i1asoswufp5k[.]cloudfront[.]net dc44qjwal3p07[.]cloudfront[.]net dv2m1uumnsgtu[.]cloudfront[.]net d1mxvenloqrqmu[.]cloudfront[.]net dfrs12kz9qye2[.]cloudfront[.]net dgkytklfjrqkb[.]cloudfront[.]net dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

文件MD5

FAB40A7BDE5250A6BC8644F4D6B9C28F 69FFDF99149D19BE7DC1C52F33AAA651 B56D1D35D46630335E03AF9ADD84B488 2579DF066D38A15BE8142954A2633E7F 8C61A6937963507DC87D8BF00385C0BC 7ADB7F56E81456F3B421C01AB19B1900 84DCB96BDD84389D4449F13EAC750986 5BCE955CF12AF3417F055DADC0212920 2B307E28CE531157611825EB0854C15F 7B2868FAA915A7FC6E2D7CC5A965B1E7 66E4D7C44D23ABF72069E745E6B617ED

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-06-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏空帆船w

印象笔记终于支持 Markdown 了

2018 年 8 月 3 日,印象笔记举办六周年庆祝活动,印象笔记官方现场展示了新版 App,新增专为中国用户开发的 Markdown 、电脑端密码锁、Widg...

37720
来自专栏安恒信息

网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户...

28650
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

16930
来自专栏老九学堂

8种网络黑灰产作案工具... 你都了解吗?

9月17日,2018国家网络安全宣传周——网络安全博览会揭幕。本次展会集中展示网络安全领域的新技术和新理念等内容。而且,在博览会上,有展馆展示了多种网络黑灰产作...

3.1K30
来自专栏大数据文摘

专访“新世界黑客组织”成员Kapustkiy

19760
来自专栏黑白安全

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

7010
来自专栏程序员的知识天地

近 5 亿人的开房隐私被暴露,只因程序员的一个小失误!

不久前,暗网论坛中有人发帖公开出售华住旗下所有酒店的数据,包括汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家连锁...

17120

诈骗者在网上偷你钱的10种方式

从互联网诞生开始,网络犯罪一直是骗子利润丰厚的生意。尽管我们在安全性方面取得了进步,例如生物识别技术,以及如区块链之类的更有希望的安全技术成为趋势,但是道高一尺...

12000
来自专栏安恒信息

6月份浏览器市场份额最新报告:IE10表现不错

6月份浏览器市场份额最新报告:IE10表现不错 Net Applications带来了浏览器市场最新的份额报告,从这份报告中看,微软IE10最近表现不错,火狐成...

41850
来自专栏FreeBuf

防范社会工程学攻击的简单技巧与姿势

互联网是人、组织机构与电脑之间相互联系的迷宫。而最简单的攻击方式便是找出关系中的薄弱环节。通常人是这三者中最弱的一环,因此也成为了攻击进入任何组织电脑网络最简单...

25980

扫码关注云+社区

领取腾讯云代金券