Fireball infiziert bereits 250 Millionen Computer weltweit

Den Experten von Check Point zufolge konnte der chinesische Anzeigenvermarkter Rafotech seine Software weltweit auf über 250 Millionen Rechnern platzieren. Sie soll hierzulande in knapp 10 Prozent der Unternehmensnetzwerke auf mindestens einem PC zu finden sein.

Die Sicherheitsexperten von Check Point haben einer von China ausgehenden Operation nach gründlicher Untersuchung ein enormes Gefahrenpotenzial bescheinigt. Mit der darüber verbreiteten Software namens Fireball seien jetzt schon 250 Millionen Computer infiziert, so die Forscher. Fireball kann zum einen den Web-Traffic des Nutzers kapern und manipulieren, um so auf betrügerische Art und Weise Anzeigenumsätze zu generieren. Deutlich gravierender ist allerdings, dass sie auch genutzt werden kann, um auf dem Rechner des Opfers jedweden Code auszuführen sowie jede von den Hintermännern gewünschte Datei oder Malware herunterladen kann.

(Bild: Check Point)

Check Point macht die Digitalmarketingagentur Rafotech aus Peking für die Operation verantwortlich. Diese verwende Fireball, um die Browser seiner Opfer zu manipulieren, sodass diese Fake-Suchmaschinen und Startseiten aufrufen. Die leiten Anfragen direkt zu yahoo.com oder google.com weiter. Zweck der Fake-Suchmaschinen ist es nur, Tracking-Pixel zu verbreiten, mit denen sich dann die unfreiwilligen Nutzer verfolgen lassen.

Die Vorgehensweise ist bis dahin zwar etwas weniger fein als bei bekannten europäischen Digitalmarketingagenturen, aber nicht wesentlich anders, was das Ergebnis anbelangt. Richtig bedenklich ist jedoch, dass Fireball Opfer nicht nur ausspionieren, sondern auch Malware auf deren Rechnern platzieren kann und es der Software möglich ist, jedweden bösartigen Code auf infizierte Maschinen zu schleusen. Laut Check Point entsteht so eine erhebliche Gefahr für betroffene Rechner und die Netzwerke, in denen sie sich befinden.

Die 250 Millionen mit Fireball infizierten Computer sind den Untersuchungsergebnissen von Check Point zufolge fast überall auf der Welt verteilt, wo es etwas zu holen gibt. Auffällige Ausnahmen sind lediglich die Länder der Sahelzone sowie der Iran und fast alle seine Nachbarländer. Indien und Brasilien seien am stärksten betroffen, aber auch in europäischen Ländern scheint Fireball weit verbreitet zu sein. In Deutschland beispielsweise sei in 9,75 Prozent der Unternehmensnetzwerke mindestens ein PC mit der Malware gefunden worden.

Verbreitung von Fireball (Grafik: Check Point)Verbreitung von Fireball (Grafik: Check Point)

Die Malware wird den Sicherheitsexperten zufolge meist als zusätzlicher Download zu einer anderen Software verbreitet. Auch da überschreiten die Hintermänner lediglich eine Grenze, an die sich auch große und etablierte Firmen nahe heranwagen, wenn sie zusammen mit Updates für ihre Software mittels standardmäßig gesetztem Häkchen im Download-Dialog Programme von Drittanbietern verteilen.

Bei dem ebenfalls von Rafotech angebotenen Browser Mustang, der als besonders schnell beworben wird, besteht besondere Gefahr in Bezug auf Fireball, aber auch bei dem schon länger als Adware bekannten Programm Deal WiFi, das kostenloses WLAN überall verspricht.

Infektionswege der Adware Fireball, die Check-Point-Experten als besonders ausgefeilt und daher auch besonders gefährlich einstufen (Grafik: Check Point)Infektionswege der Adware Fireball, die Check-Point-Experten als besonders ausgefeilt und daher auch besonders gefährlich einstufen (Grafik: Check Point)

Rafotech agiert wie auch andere Adware-Verbreiter nicht wirklich im Untergrund. Das Unternehmen wirbt auf seiner Website offensiv damit, dass es weltweit 300 Millionen User erreicht und dafür auch Server in Deutschland, Italien, Spanien und Polen betreibt. Zudem hat Rafotech zumindest vier Spiele entwickelt, die es offenbar mit einigem Erfolg über Google Play und in Apples App Store anbietet: Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash. Möglicherweise dienen die aber auch in erster Linie dazu, Nutzerinformationen einzusammeln.

Nach den aktuellen Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsciht zu genießen (Screenshot: silicon.de)Nach den aktuellen Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsciht zu genießen (Screenshot: silicon.de)

Die Experten von Check Point sehen Fireball und ähnliche Browser-Hijacker als eine Art Hybrid-Schöpfungen. Sie bewegen sich einerseits ganz knapp an der Grenze des Erlaubten, andererseits sind sie schon Malware. Auf jeden Fall seien sie eine enorme Gefahr. Denn obwohl keine Anzeichen vorliegen, dass Rafotech das Potenzial für kriminelle Aktivitäten bereits ausnutzt, sei es doch gegeben und könnte jederzeit aktiviert werden.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Im Audio-Webinar am 5. Juli 2017 um 11 Uhr erläutert Florian Bettges von HPE wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen.

Im Vergleich zu anderen Browser-Hijackern sei Fireball zudem sehr ausgereift und verwende ausgefeilte Techniken, um eine Entdeckung zu verhindern. Diesbezüglich sei es einer typischen Malware durchaus ebenbürtig und biete eine als kritisch einzustufende Hintertür auf das System, die nach Belieben ausgenutzt werden könne.

“Rafotech hat die Macht, eine weltweite Katastrophe auszulösen, ist aber nicht alleine damit. Bei unseren Forschungen haben wir andere Browser-Hijacker gefunden, die unserem Verständnis nach von anderen Urhebern entwickelt wurden. Eine davon ist ELEX Technology, ein Internet Service Anbieter, der ebenfalls in Peking ansässig ist und vergleichbare Produkte wie Rafotech entwickelt. Es gibt Hinweise darauf, dass beiden Firmen Verbindungen zueinander haben”, so Check Point.

[Mit Material von Peter Marwan, silicon.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Checkpoint, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Fireball infiziert bereits 250 Millionen Computer weltweit

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *