Nieuwe malware kaapt 250 miljoen browsers
Fireball, nieuwe malwaresoftware, heeft reeds 250 miljoen computers besmet. Dat meldt securitybedrijf Check Point. De malware ‘kaapt’ je browser en alle internetverkeer om op die manier advertenties ten gelde te maken, maar kan nog veel meer. Onder meer ongemerkt willekeurige (kwaadaardige) code uitvoeren en andere malware downloaden, installeren en uitvoeren behoren tot de mogelijkheden. Het zou dus nog veel erger kunnen zijn.
‘Marketingbedrijf’
Rafotech, een Chinees bedrijf dat beweert zich te specialiseren in digitale marketing, lijkt de bron te zijn van de software. In zekere zin klopt dat ook: Fireball gebruikt de computers van slachtoffers immers om de gebruiker langsheen advertenties te leiden. Dat gebeurt doordat de browser wordt gekaapt en de zoekpagina wordt vervangen. Een nietsvermoedende gebruiker komt dan eerst terecht op een valse zoekpagina met advertenties op, vooraleer ze worden doorgestuurd naar een echte zoekpagina van bijvoorbeeld Google of Yahoo.
Fireball kan al gevonden worden op 250 miljoen computers; zowat 20 procent van alle bedrijfsnetwerken zouden geïnfecteerd zijn. Het zwaartepunt ligt in Azië: 10 procent van alle toestellen in Indonesië zijn besmet. Buiten Azië is Brazilië het grootste slachtoffer: 9,6 procent is daar besmet. In Indonesië loopt dat voor bedrijfsnetwerken zelfs op tot 60 procent.
Goede reclame
Dat de valse zoekmachines enorm veel worden gebruikt, bewijst de lijst van de 10.000 meest bezochte websites. Veertien valse zoekmachines zijn hierin continu terug te vinden, waarvan enkelen zelfs regelmatig de top 1.000 induiken. Internauten die er gebruik van maken, zullen evenwel niet weten dat ze tegelijkertijd bespioneerd worden door tracker-pixels die hun doen, laten en persoonlijke gegevens (op)volgen, neerpennen en doorverkopen aan adverteerders.
En toch zou de schade nog veel groter kunnen zijn. Check Point merkt namelijk op dat Fireball tweeledige capaciteiten bezit. Enerzijds kan het browsers kapen, maar het kan eveneens vanop afstand worden aangestuurd om ongemerkt code en programma’s aan te sturen en uit te voeren. Op die manier kan een aanvaller een computer besmetten met nog vele andere malwarepakketten. Wie de Fireball-malware downloadt, creëert met andere woorden zelf een wagenwijd openstaande achterdeur in zijn systeem.
Rafotech ontkent ondertussen elke verantwoordelijkheid. Het beweert zelfs, met enige trots, dat het simpelweg een zeer succesvol marketingbureau is. Op de website wordt gepocht over een bereik van meer dan 300 miljoen gebruikers, wat ongeveer gelijkstaat aan de aantallen die Check Point ontdekte.
Veilig en legaal
De malware, zo benadrukt het securitybedrijf, is geen doetje. Het beschikt over capaciteiten waar menig malwarepakket jaloers op zou zijn. Zo valt bijvoorbeeld op dat Fireball enkele veiligheidscertificaten bezit die detectie nagenoeg onmogelijk maken voor doorsnee antivirusprogramma’s. De malware komt immers legitiem over.
Dat komt doordat Fireball geïnstalleerd wordt volgens een legale methode. Een gebruiker downloadt een programma van (bijvoorbeeld) Rafotech dat perfect legaal en veilig is, maar dat programma installeert dan ‘gebundelde’ software. Zo gebeurt dat doorgaans met adware: dat is een software die op zich niet illegaal is en het mogelijk maakt om gratis software toch valoriseerbaar te maken door middel van bijvoorbeeld advertenties. Fireball wordt op dezelfde manier geïnstalleerd, al gaat het uiteraard niet om legale software; maar zo kan het programma toch aan een echt certificaat geraken van een dubieus certificatenbureau dat zich niet helemaal bekommert om jouw veiligheid.
Internetcrisis
De malware kan niet zomaar worden verwijderd door een gebruiker. Al is het in de eerste plaats al niet makkelijk om op te merken of je al dan niet werd geïnfecteerd. Een van de makkelijkste methodes is te proberen je thuispagina aan te passen. Fireball zal dat niet toestaan. Een goede adwarescanner is eveneens een goede detectiemethode.
Voorlopig is de malwarecampagne van Fireball nog relatief onschuldig, maar Check Point waarschuwt dat dat heel snel kan veranderen. Indien Rafotech plots beslist dat het alle beschikbare informatie wil ontvangen van zijn besmette gebruikers om door te verkopen, is dat maar een koud kunstje. Daarbij kunnen eveneens bankgegevens en wachtwoorden worden gestolen. Rafotech heeft momenteel de sleutel in handen tot een wereldwijde internetcrisis.