Chinees marketingbedrijf besmet 250 miljoen computers met malware

Meer dan 250 miljoen computers en 20% van alle bedrijfsnetwerken wereldwijd zijn besmet met malware die is verspreid door het Chinese marketingbedrijf Rafotech. De malware heet Fireball en manipuleert het webverkeer van gebruikers.

Dit meldt het beveiligingsbedrijf Check Point Software Technologies. Het beveiligingsbedrijf stelt dat Fireball browsers van slachtoffers overneemt en deze omtovert tot zombies. Fireball heeft twee functionaliteiten:

1. het downloaden en uitvoeren van willekeurige code op computers
2. het kapen en manipuleren van webverkeer van gebruikers om advertentie-inkomsten te genereren

‘Fireball kan additionele malware installeren’

Check Point stelt dat Fireball momenteel plug-ins installeert in de webbrowser van slachtoffers en daarnaast de configuratie van de webbrowser aanpast om zijn advertentie-inkomsten te maximaliseren. Het beveiligingsbedrijf waarschuwt echter dat gezien de werkwijze van Fireball deze ook kan worden gebruikt om additionele malware op systemen te installeren.

De malware past zowel de startpagina als de standaard zoekmachine van gebruikers aan. De zoekmachine wordt gewijzigd in een nagemaakte zoekmachine van Rafotech, waarvan het bedrijf naar verluid meerdere varianten gebruikt. Zoekresultaten die bij deze zoekmachines worden ingevoerd, worden volgens Check Point door Rafotech doorgestuurd naar Yahoo.com of Google.com. Vervolgens voert de malware een tracking pixel toe om persoonlijke informatie over gebruikers te verzamelen.

‘Fireball creëert een enorm beveiligingslek’

“Fireball heeft het vermogen slachtoffer te bespioneren, op efficiënte wijze malware af te leveren en iedere malafide code op geïnfecteerde machines uit te voeren. Dit creëert een enorm beveiligingslek in besmette machines en netwerken”, aldus Check Point in een blogpost.

De malware wordt volgens het beveiligingsbedrijf vooral verspreid door deze te bundelen met software die gebruikers zelf op hun systemen installeren. Hierbij wordt Fireball doorgaans verstopt, zodat de gebruikers de malware ongemerkt installeren. De meeste besmettingen hebben tot nu toe plaatsgevonden in India (10,1%) en Brazilië (9,6%). In de onderstaande infographic zet Check Point enkele feiten over Fireball uiteen.

20% van de bedrijfsnetwerken is besmet

Check Point meldt dat 20% van alle bedrijfsnetwerken wereldwijd met Fireball besmet is. In Indonesië zou zelfs maar liefst 60% van alle bedrijfsnetwerken systemen bevatten waarop Fireball draait. Andere landen met opvallend hoge besmettingspercentages zijn India (43%) en Brazilië (38%).

Tot slot meldt het beveiligingsbedrijf op het feit dat 14 van de valse zoekmachines die Rafotech gebruikt voorkomen in de top 10.000 meest populaire websites, terwijl sommige zelfs in de top 1.000 voorkomen.