Chinees marketingbedrijf besmet 250 miljoen computers met malware

Meer dan 250 miljoen computers en 20% van alle bedrijfsnetwerken wereldwijd zijn besmet met malware die is verspreid door het Chinese marketingbedrijf Rafotech. De malware heet Fireball en manipuleert het webverkeer van gebruikers.

Dit meldt het beveiligingsbedrijf Check Point Software Technologies. Het beveiligingsbedrijf stelt dat Fireball browsers van slachtoffers overneemt en deze omtovert tot zombies. Fireball heeft twee functionaliteiten:

  1. het downloaden en uitvoeren van willekeurige code op computers
  2. het kapen en manipuleren van webverkeer van gebruikers om advertentie-inkomsten te genereren

‘Fireball kan additionele malware installeren’

Check Point stelt dat Fireball momenteel plug-ins installeert in de webbrowser van slachtoffers en daarnaast de configuratie van de webbrowser aanpast om zijn advertentie-inkomsten te maximaliseren. Het beveiligingsbedrijf waarschuwt echter dat gezien de werkwijze van Fireball deze ook kan worden gebruikt om additionele malware op systemen te installeren.

De malware past zowel de startpagina als de standaard zoekmachine van gebruikers aan. De zoekmachine wordt gewijzigd in een nagemaakte zoekmachine van Rafotech, waarvan het bedrijf naar verluid meerdere varianten gebruikt. Zoekresultaten die bij deze zoekmachines worden ingevoerd, worden volgens Check Point door Rafotech doorgestuurd naar Yahoo.com of Google.com. Vervolgens voert de malware een tracking pixel toe om persoonlijke informatie over gebruikers te verzamelen.

‘Fireball creëert een enorm beveiligingslek’

“Fireball heeft het vermogen slachtoffer te bespioneren, op efficiënte wijze malware af te leveren en iedere malafide code op geïnfecteerde machines uit te voeren. Dit creëert een enorm beveiligingslek in besmette machines en netwerken”, aldus Check Point in een blogpost.

De malware wordt volgens het beveiligingsbedrijf vooral verspreid door deze te bundelen met software die gebruikers zelf op hun systemen installeren. Hierbij wordt Fireball doorgaans verstopt, zodat de gebruikers de malware ongemerkt installeren. De meeste besmettingen hebben tot nu toe plaatsgevonden in India (10,1%) en Brazilië (9,6%). In de onderstaande infographic zet Check Point enkele feiten over Fireball uiteen.

Een infographic van Check Point Software Technologies over
de Fireball malware (bron: Check Point Software Technologies)

20% van de bedrijfsnetwerken is besmet

Check Point meldt dat 20% van alle bedrijfsnetwerken wereldwijd met Fireball besmet is. In Indonesië zou zelfs maar liefst 60% van alle bedrijfsnetwerken systemen bevatten waarop Fireball draait. Andere landen met opvallend hoge besmettingspercentages zijn India (43%) en Brazilië (38%).

Tot slot meldt het beveiligingsbedrijf op het feit dat 14 van de valse zoekmachines die Rafotech gebruikt voorkomen in de top 10.000 meest populaire websites, terwijl sommige zelfs in de top 1.000 voorkomen.

Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.