Александр Савушкин,
директор по развитию бизнеса Check Point Software Technologies
в странах СНГ
Китайское рекламное агентство распространяет зловред, заразивший 250 миллионов устройств
Команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. Заражены 18,3% корпоративных сетей Казахстана. Александр Савушкин, директор по развитию бизнеса Check Point Software Technologies в странах СНГ, подробно рассказал о механике кампании и о том, как распознать заражение своего ПК.
Распространяемый зловред Fireball поражает браузеры, превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.
Кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google.com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах.
Масштаб заражения
Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 млн в Индии (10,1%), 24,1 млн в Бразилии (9,6%), 16,1 млн в Мексике (6,4%) и 13,1 млн в Индонезии (5,2%). В США обнаружено около 5,5 млн заражений (2,2%).
По данным Check Point, процент заражения корпоративных сетей ещё выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7%) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).
Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из них входят в число 10 000 наиболее популярных веб-сайтов, причём некоторые из них иногда попадают и в 1000 лучших.
Как проверить факт заражения ПК?
Чтобы проверить, заражён ли ваш компьютер, откройте свой веб-браузер. Вы ли устанавливали эту стартовую страницу? Можете ли вы поменять её прямо сейчас? Вам предлагается использовать знакомую поисковую систему? Проверьте расширения – их устанавливали вы? Если хотя бы на один из этих вопросов вы ответили отрицательно, это веский повод насторожиться.
Как Fireball попадает на устройство жертвы
Rafotech не признаётся в распространении поддельных поисковых систем, однако на своём сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.
Несмотря на то, что распространение Fireball очевидно является опасным и злонамеренным, фактически оно сопровождается необходимыми цифровыми сертификатами, придающими ПО законный вид. Rafotech балансирует на грани легитимности, опираясь на то, что распространение рекламного ПО не считается преступлением – многие компании бесплатно предоставляют софт или услуги, получая прибыль за счёт сбора данных или рекламы.
Эта «серая зона» интернет-маркетинга привела к рождению нового вида монетизации, который эксперты называют связыванием. Связывание (Bundling) – это когда скачиваемая программа параллельно устанавливает ещё одну, неизвестную. Причём важно отметить, что далеко не всегда такая побочная установка требует авторизации пользователя. Rafotech использует связывание, чтобы расширить масштабы распространения Fireball.
Согласно нашему анализу, методы распространения Rafotech являются нелегитимными и не соответствуют критериям, которые позволили бы считать их законными. Вредоносные программы и поддельные поисковые системы не содержат индикаторов, связывающих их с Rafotech, их невозможно удалить обычным пользователем, и они скрывают свою истинную природу.
Как в таком случае ПО Rafotech может содержать необходимые цифровые сертификаты? Возможно, дело в недобросовестности или в недостатке знаний организаций, выдающих такие документы.
Эксперты Check Point предполагают, что чаще всего Fireball попадает на устройства жертв в связке с другими продуктами Rafotech — Deal Wifi и Mustang Browser, а также через другие бесплатные программы, например, Soso Desktop и FVP Imageviewer.
Важно отметить, что загрузка вредоносного ПО не обязательно происходит одновременно со скачиванием бесплатных программ-носителей. Если вы установили подозрительный бесплатный софт и ничего не произошло, это ещё не значит, что изменения не начнутся позже, или что они не будут скрыты от ваших глаз. Кроме того, вполне вероятно, что Rafotech использует дополнительные методы распространения, такие как распространение бесплатного ПО под поддельными именами, спам или даже покупка инсталляций у хакеров.
Помните, что даже если софт доступен бесплатно, разработчики всё равно стремятся каким-либо образом получить прибыль. Если в бесплатном ПО отсутствует реклама – это повод задуматься, не будут ли ваши персональные данные являться товаром для создателей.
С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам.
Потенциальные последствия
Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на заражённые компьютеры. Компания Rafotech фактически может инициировать глобальную катастрофу и, к сожалению, она в этом не одинока. Во время исследования мы обнаружили ряд браузеров угонщиков, которые, на наш взгляд, были разработаны другими компаниями. Одной из таких компаний является ELEX Technology, также расположенная в Пекине. Опираясь на данные исследования, мы предполагаем, что Rafotech и ELEX Technology связаны друг с другом и могут сотрудничать в вопросах распространения зловредного ПО и обмена данными пользователей.
По нашим оценкам, в случае если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находиться в серьёзной опасности. Ущерб может быть нанесён критически важным организациям – от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы.