Check Point Threat Intelligence y los equipos de investigación descubrieron recientemente una operación de alto riesgo de amenaza china que ha infectado a más de 250 millones de ordenadores en todo el mundo. El malware instalado, Fireball, se encarga de los destinos de los navegadores web y los convierte en zombies. Fireball tiene dos funcionalidades principales: la capacidad de ejecutar cualquier código en las computadoras de la víctima, descargar cualquier archivo o malware y secuestrar y manipular el tráfico web de los usuarios infectados para generar ingresos publicitarios.

Actualmente, Fireball instala plug-ins y configuraciones adicionales para aumentar sus anuncios, pero con la misma facilidad puede convertirse en un distribuidor prominente para cualquier malware adicional.

Esta operación está a cargo de Rafotech, una gran agencia de marketing digital con sede en Beijing, China. Rafotech utiliza Fireball para manipular los navegadores web de las víctimas y convertir sus motores de búsqueda predeterminados y home-pages en buscadores falsos. Esto redirecciona las consultas de yahoo.com o Google.com.

Los motores de búsqueda falsos incluyen píxeles de seguimiento utilizados para recopilar la información privada de los usuarios. Fireball tiene la capacidad de espiar a las víctimas, llevar a cabo la descarga eficiente de malware, y ejecutar cualquier código malicioso en las máquinas infectadas, esto crea una falla de seguridad masiva en las máquinas y redes de destino.

RESULTADOS CLAVE

• Los analistas de Check Point descubrieron una operación de alto riesgo en China que ha infectado a más de 250 millones de ordenadores en todo el mundo y el 20% de las redes corporativas.
• El malware, llamado Fireball, actúa como un secuestrador de navegador, pero puede convertirse en un descargador de malware que funcione completamente. Fireball es capaz de ejecutar cualquier código en las máquinas de la víctima, lo que resulta en una amplia gama de acciones de robar credenciales, también a la descarga de malware adicional.
• Fireball se difunde principalmente a través de la agrupación, es decir, instalado en máquinas víctimas junto con un programa deseado, a menudo sin el consentimiento del usuario.
• La operación está a cargo de la agencia china de marketing digital Rafotech.
• Los principales países infectados son India (10,1%) y Brasil (9,6%)

Figura 1: Flujo de Infección de Fireball

250 MILLONES DE MÁQUINAS Y 20% DE REDES CORPORATIVAS EN EL MUNDO INFECTADAS

El alcance de la distribución de malware es alarmante. Según nuestro análisis, más de 250 millones de computadoras de todo el mundo han sido infectadas: específicamente, 25,3 millones de infecciones en India (10,1%), 24,1 millones en Brasil (9,6%), 16,1 millones en México (6,4%) y 13,1 millones en Indonesia 5,2%). Estados Unidos ha sido testigo de 5,5 millones de infecciones (2,2%).

Basado en los sensores globales de Check Point, el 20% de todas las redes corporativas están afectadas. Las tasas de infección en los Estados Unidos (10,7%) y China (4,7%) son alarmantes, pero Indonesia (60%), India (43%) y Brasil (38%) tienen tasas de infección mucho más peligrosas.

Otro indicador de la tasa de infección increíblemente alta es la popularidad de los motores de búsqueda falsos de Rafotech. De acuerdo con los datos de tráfico web de Alexa, 14 de estos motores de búsqueda falsos se encuentran entre los 10 principales sitios web, con algunos de ellos de vez en cuando llegar a los primeros 1.000.

Figura 2: Tasas Globales de Infección de Fireball (más oscuro = más infecciones)

Irónicamente, aunque Rafotech no admita que produce secuestradores de navegador y motores de búsqueda falsos, se declara (con orgullo) una exitosa agencia de marketing, alcanzando a 300 millones de usuarios en todo el mundo – coincidentemente similar a nuestro número de infecciones estimadas.

Figura 3: Publicidad de Rafotech en el sitio web oficial de la empresa

UN BACKDOOR A CADA RED INFECTADA

Fireball y los secuestradores de navegadores web similares son criaturas híbridas, medio software aparentemente legítimo y medio malware (ver la sección IR BAJO EL RADAR ). Aunque Rafotech utiliza Fireball sólo para publicidad e iniciar el tráfico a sus motores de búsqueda falsos, puede realizar cualquier acción en las máquinas de las víctimas. Estas acciones pueden tener consecuencias graves. ¿Qué tan grave es? Trate de imaginar un pesticida armado con una bomba nuclear. Sí, puede hacer el trabajo, pero también puede hacer mucho más.

Estos secuestradores de navegador son capaces en el nivel del navegador. Esto significa que pueden conducir a las víctimas a sitios maliciosos, espiarlos y llevar a cabo la descarga de malware exitoso.

Desde una perspectiva técnica, Fireball muestra una gran sofisticación y técnicas de evasión de calidad, incluyendo capacidades anti-detección, estructura multicapa y un C & C flexible, no es inferior a un malware típico.

Muchos actores amenazantes quieren tener una fracción del poder de Rafotech, ya que Fireball provee una puerta trasera crítica, la cual puede ser explotada.

IR BAJO EL RADAR

Aunque la distribución de Fireball es maliciosa e ilegítima, en realidad lleva certificados digitales que les dan una apariencia legítima. ¿Confundido? Debería estarlo.

Rafotech cuidadosamente camina a lo largo del borde de la legitimidad, sabiendo que la distribución de adware no se considera un crimen como es la distribución de malware. ¿Cómo es eso? Muchas empresas ofrecen software o servicios de forma gratuita, y hacer sus ganancias mediante la recolección de datos o la presentación de anuncios. Una vez que un cliente acepta la instalación de funciones o software adicionales en su computadora, es difícil reclamar una intención maliciosa en nombre del proveedor.

Esta zona gris llevó al nacimiento de un nuevo tipo de método de monetización: el agrupamiento. Agrupamiento es cuando un programa deseado instala otro programa junto con él, a veces con la autorización de un usuario y algunas veces sin él. Rafotech utiliza el agrupamiento en el volumen alto para distribuir Fireball.

Figura 4: Agrupación en Acción

De acuerdo con nuestro análisis, los métodos de distribución de Rafotech parecen ser ilegítimos y no siguen los criterios que permitirían considerar estas acciones como ingenuas o legales. El malware y los motores de búsqueda falsos no llevan indicadores que los conecten a Rafotech, no pueden ser desinstalados por un usuario común y ocultan su verdadera naturaleza.

Entonces, ¿cómo llevan los certificados digitales? Una posibilidad es que los emisores se ganen la vida aportando certificados, y los pequeños emisores con ética flexible pueden disfrutar de la falta de claridad en la legalidad del mundo de los adware para aprobar software como los secuestradores de navegadores de Rafotech.

EL MODELO DE INFECCIÓN

Al igual que con otros tipos de malware, hay muchas maneras de difundir Fireball. Sospechamos que dos vectores populares están agrupando el malware a otros productos de Rafotech – Deal Wifi y Mustang Browser -, además de agrupar a través de otros distribuidores freeware: productos como “Soso Desktop”, “FVP Imageviewer” y otros.

Es importante recordar que cuando un usuario instala freeware, el malware adicional no se deja caer al mismo tiempo. Si descarga un software libre sospechoso y no ocurre nada en el acto, no significa necesariamente que algo no está sucediendo entre bastidores.

Además, es probable que Rafotech esté utilizando métodos de distribución adicionales, como la difusión de freeware bajo nombres falsos, spam o incluso la compra de instalaciones de actores amenazadores.

Como con todo en el Internet, recuerde que no hay almuerzos libres. Cuando descarga freeware o utiliza servicios gratuitos (streaming y descargas, por ejemplo), el proveedor de servicios obtiene beneficios de alguna manera. Si no es de usted o de anuncios, vendrá de otro lugar.

Figura 5: Pantalla de instalación de Deal Wifi Hotspot

¿CÓMO PUEDO SABER SI ESTOY INFECTADO?

Para comprobar si está infectado, primero abra su navegador web.

  • ¿Fue su página de inicio, la establecida por Usted?
  • ¿Es usted capaz de modificarla?
  • ¿Está familiarizado con su motor de búsqueda predeterminado y puede modificarlo también?
  • ¿Recuerda haber instalado todas las extensiones de su navegador?

Si la respuesta a cualquiera de estas preguntas es “NO”, esto es una señal de que está infectado con adware. También puede utilizar un escáner de adware recomendado, sólo para ser más cauteloso.

Figura 6: trotux.com; Un motor de búsqueda falso ejecutado por Rafotech

EL BOTÓN ROJO EN LAS MANOS ERRADAS

No se necesita mucho para imaginar un escenario en el que Rafotech decida recoger información confidencial de todas sus máquinas infectadas y vender estos datos a grupos de amenazas o rivales de negocios. Las credenciales bancarias y de tarjetas de crédito, los expedientes médicos, las patentes y los planes de negocios pueden ser ampliamente expuestos y maltratados por actores amenazadores para diversos fines. Sobre la base de nuestra tasa de infección estimada, en tal escenario, una de cada cinco empresas en todo el mundo será susceptible a una violación importante. Se pueden causar graves daños a las organizaciones clave, desde los principales proveedores de servicios hasta los operadores de infraestructuras críticas a las instituciones médicas. La pérdida potencial es indescriptible, y la reparación de los daños causados por la fuga de datos tan masiva (si es posible) podría tomar años.

Rafotech tiene el poder de iniciar una catástrofe global y no está solo. Durante nuestra investigación hemos rastreado a los secuestradores de navegadores adicionales que, según nuestra comprensión, fueron desarrollados por otras compañías. Una de estas empresas es ELEX Technology, una empresa de servicios de Internet también con sede en Beijing produce productos similares a los de Rafotech. Varios hallazgos nos llevan a sospechar que las dos compañías están relacionadas, y pueden estar colaborando en la distribución de los secuestradores de navegadores o en el tráfico comercial de los clientes. Por ejemplo, se sospecha que un adware desarrollado por ELEX, llamado YAC (“Yet Another Cleaner”) está conectado a la operación de Rafotech, dejando a sus secuestradores de navegadores.

CONCLUSIÓN

En esta investigación hemos descrito la operación de los secuestradores de navegadores web de Rafotech, posiblemente la operación de infección más grande de la historia. Creemos que, aunque no se trata de una campaña típica de ataque de malware, tiene el potencial de causar daños irreversibles a sus víctimas, así como a los usuarios de Internet en todo el mundo, por lo que debe ser bloqueado por empresas de seguridad.

La distribución completa de Fireball no se conoce todavía, pero está claro que presenta una gran amenaza para el ecosistema cibernético mundial. Con un cuarto de millón de máquinas infectadas y un agarre en una de cada cinco redes corporativas, las actividades de Rafotech lo convierten en una inmensa amenaza.

¿CÓMO RETIRO EL MALWARE, UNA VEZ INFECTADO?

Para eliminar casi cualquier adware, siga estos sencillos pasos:
1. Desinstale el adware quitando la aplicación de la lista Programas y características del Panel de control de Windows.

Para usuarios de Mac OS:
1. Utilice el Finder para localizar las Aplicaciones
2. Arrastre el archivo sospechoso a la Papelera.
3. Vacíe la papelera.

Nota – Un programa utilizable no siempre está instalado en la máquina y por lo tanto no se puede encontrar en la lista de programas.

2. Escanee y limpie su máquina usando:
• Software anti-malware (generalmente el mejor es Malwaresbytes AntiMalware)
• Software limpiador de adware
3. Elimine complementos, extensiones o complementos maliciosos de su navegador:

En Google Chrome:
a. Haga clic en el icono del menú de Chrome y selecciona Herramientas> Extensiones.
b. Localice y seleccione cualquier complemento sospechoso.
c. Haga clic en el icono de la papelera para eliminarlo.

En Internet Explorer:
a. Haga clic en el icono Configuración y seleccione Administrar complementos.
b. Localice y elimine cualquier complemento malicioso.

En Mozilla Firefox:
a. Haga clic en el icono de menú de Firefox y vaya a la pestaña Herramientas.
b. Seleccione Complementos> Extensiones.
Se abre una nueva ventana.
c. Elimine cualquier complemento sospechoso.
d. Vaya al administrador de complementos> complementos.
e. Localice y desinstale y deshabilite cualquier complemento malicioso.

En Safari:
a. Asegúrese de que el navegador está activo.
b. Haga clic en la pestaña Safari y seleccione las preferencias.
Se abre una nueva ventana.
c. Seleccione la pestaña Extensiones.
d. Ubique y desinstale cualquier extensión sospechosa.
4. Restaure su navegador de Internet a su configuración predeterminada:

En Google Chrome:
a. Haga clic en el icono de menú de Chrome y selecciona Configuración (Settings).
b. En la sección En el inicio (Startup), haga clic en Definir páginas (Set Pages).
c. Elimine las páginas maliciosas de la lista de páginas de inicio.
d. Busque la opción Mostrar botón Inicio (Show Home button) y seleccione Cambiar (Change).
e. En el campo Abrir esta página (Open this page), elimine la página del motor de búsqueda maliciosa.
f. En la sección Buscar (Search), seleccione Administrar (Manage) motores de búsqueda.
g. Seleccione la página del motor de búsqueda maliciosa y elimínela de la lista.

En Internet Explorer:
a. Seleccione la pestaña Herramientas y seleccione Opciones de Internet.
Se abre una nueva ventana.
c. En la pestaña Avanzadas (Advanced), seleccione Restablecer (Reset).
d. Active la casilla Eliminar (Delete) configuraciones personales.
e. Haga clic en el botón Restablecer (Reset).

En Mozilla Firefox:

a. Habilite la barra de menús (Menu Bar) del navegador haciendo clic en el espacio en blanco cerca de las pestañas de la página.
b. Haga clic en la pestaña Ayuda (Help) y vaya a Información de solución de problemas.
Se abre una nueva ventana.
c. Seleccione Restablecer (Reset) Firefox.

En Safari:

a. Seleccione la pestaña Safari y seleccione Preferencias (Preferences).
Se abre una nueva ventana.
b. En la pestaña Privacidad (Privacy), clic en el botón Administrar datos del sitio web…(Manage Website Data…)
Se abre una nueva ventana.
c. Haga clic en el botón Quitar todo (Remove All).

INDICADORES DE COMPROMISO

Direcciones C & C

• Attirerpage [.] Com
• S2s [.] Rafotech [.] Com
• Trotux [.] Com
• Startpageing123 [.] Com
• Funcionapage [.] Com
• Universalsearches [.] Com
• Thewebanswers [.] Com
• Nicesearches [.] Com
• Youndoo [.] Com
• Giqepofa [.] Com
• Mustang-browser [.] Com
• Forestbrowser [.] Com
• Luckysearch123 [.] Com
• Ooxxsearch [.] Com
• Search2000s [.] Com
• Walasearch [.] Com
• Hohosearch [.] Com
• Yessearches [.] Com
• D3l4qa0kmel7is [.] Cloudfront [.] Net
• D5ou3dytze6uf [.] Cloudfront [.] Net
• D1vh0xkmncek4z [.] Cloudfront [.] Net
• D26r15y2ken1t9 [.] Cloudfront [.] Net
• D11eq81k50lwgi [.] Cloudfront [.] Net
• Ddyv8sl7ewq1w [.] Cloudfront [.] Net
• D3i1asoswufp5k [.] Cloudfront [.] Net
• Dc44qjwal3p07 [.] Cloudfront [.] Net
• Dv2m1uumnsgtu [.] Cloudfront [.] Net
• D1mxvenloqrqmu [.] Cloudfront [.] Net
• Dfrs12kz9qye2 [.] Cloudfront [.] Net
• Dgkytklfjrqkb [.] Cloudfront [.] Net
• Dgkytklfjrqkb [.] Cloudfront [.] Net / main / trmz [.] Exe

Hash de archivo

• FAB40A7BDE5250A6BC8644F4D6B9C28F
• 69FFDF99149D19BE7DC1C52F33AAA651
• B56D1D35D46630335E03AF9ADD84B488
• 8C61A6937963507DC87D8BF00385C0BC
• 7ADB7F56E81456F3B421C01AB19B1900
• 84DCB96BDD84389D4449F13EAC75098
• 2B307E28CE531157611825EB0854C15F
• 7B2868FAA915A7FC6E2D7CC5A965B1E

Fuente: Checkpoint Blog

Anuncios