Китайское рекламное агентство заразило 250 млн устройств

Китайское рекламное агентство заразило 250 млн устройств

Команда Threat Intelligence компании Check Point Software Technologies обнаружила чрезвычайную активность китайской вредоносной кампании, от которой пострадали уже более 250 миллионов компьютеров по всему миру. В каждой четвертой российской компании (24.35%) заражен хотя бы один компьютер.

Распространяемый зловред Fireball поражает браузеры, превращая их в зомби. У Fireball две основные функции: одна заключается в способности запускать любой код и скачивать любые файлы на компьютер жертвы, а другая позволяет управлять веб-трафиком пользователя, чтобы генерировать прибыль от рекламы. В настоящее время Fireball устанавливает плагины и дополнительные конфигурации для увеличения рекламного трафика, однако он может легко превратиться в распространителя любого другого зловредного ПО.

Кампанией управляет крупнейшее маркетинговое агентство Rafotech, расположенное в Пекине. Rafotech использует Fireball, чтобы управлять браузерами жертв и менять поисковые системы и стартовые страницы, установленные по умолчанию, на фейковые поисковики, которые просто перенаправляют запросы на yahoo.com или Google.com. Поддельные поисковики способны собирать персональную информацию пользователей. Fireball также может шпионить за жертвами, доставлять любые зловреды и запускать любой вредоносный код на инфицированных машинах. Fireball попадает на компьютер жертвы обычно в связке с другим ПО, которое скачивает пользователь, часто даже без его согласия. Масштабы распространения Fireball поражают. В соответствии с данными аналитиков Check Point, инфицировано более 250 миллионов компьютеров по всему миру: около 25,3 миллиона в Индии (10,1%), 24,1 миллиона в Бразилии (9,6%), 16,1 миллиона в Мексике (6,4%) и 13,1 миллиона в Индонезии (5,2%). В США обнаружено около 5,5 миллиона заражений (2,2%).

По данным Check Point, процент заражения корпоративных сетей еще выше: около 20% от общего числа всех корпоративных сетей в мире. Значительное число заражений в США (10,7) и в Китае (4,7%), но особенно впечатляют данные по Индонезии (60%), Индии (43%) и Бразилии (38%).

Другим показателем высокой степени распространения является популярность поддельных поисковых систем Rafotech. Согласно аналитической системе Alexa, 14 из этих поддельных поисковых систем входят в число 10 000 наиболее популярных веб-сайтов, причем некоторые из них иногда попадают и в 1000 лучших.

С технической точки зрения, Fireball демонстрирует высокую степень мастерства его создателей: он способен избегать обнаружения, содержит многоуровневую структуру и гибкий C&C и в целом ничем не уступает другим успешным вредоносным программам. 

Rafotech не признается в распространении поддельных поисковых систем, однако на своем сайте объявляет себя успешным маркетинговым агентством, охватывающим 300 миллионов пользователей по всему миру, что примерно совпадает с данными о количестве зараженных машин.

Масштабы распространения Fireball дают его модераторам, Rafotech, практически безграничную власть. Полученную из фейковых поисков приватную информацию компания может продавать мошенникам или бизнес-конкурентам жертв. Также она может доставить любой другой зловред на зараженные компьютеры. По нашим оценкам, в случае, если Rafotech решит реализовать этот потенциал, каждая пятая корпорация в мире будет находится в серьезной опасности. Ущерб может быть нанесен критически важным организациям — от крупных поставщиков услуг до операторов инфраструктуры и медицинских учреждений. Возможные потери достигают немыслимых масштабов, и на их восстановление могут уйти годы. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru