Китайское рекламное агентство заразило 250 млн устройств

Китайское рекламное агентство заразило 250 млн устройств

Команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. В каждой четвертой российской компании (24.35%) заражен хотя бы один компьютер.

Распространяемый зловред Fireball поражает браузеры, превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.

Кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google.com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах. Fireball попадает на компьютер жертвы обычно в связке с другим ПО, которое скачивает пользователь, часто даже без его согласия. Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 миллиона в Индии (10,1%), 24,1 миллиона в Бразилии (9,6%), 16,1 миллиона в Мексике (6,4%) и 13,1 миллиона в Индонезии (5,2%). В США обнаружено около 5,5 миллиона заражений (2,2%).

По данным Check Point, процент заражения корпоративных сетей еще выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).

Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из этих поддельных поисковых систем входят в число 10 000 наиболее популярных веб-сайтов, причем некоторые из них иногда попадают и в 1000 лучших.

С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам. 

Rafotech не признается в распространении поддельных поисковых систем, однако на своем сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.

Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на зараженные компьютеры. По нашим оценкам, в случае, если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. Ущерб может быть нанесен критически важным организациям — от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru