Fireball infiziert bereits 250 Millionen Computer weltweit

Die Sicherheitsexperten von Check Point haben einer von China ausgehenden Operation nach gründlicher Untersuchung ein enormes Gefahrenpotenzial bescheinigt. Mit der darüber verbreiteten Software namens Fireball seien jetzt schon 250 Millionen Computer infiziert, so die Forscher. Fireball kann zum einen den Web-Traffic des Nutzers kapern und manipulieren, um so auf betrügerische Art und Weise Anzeigenumsätze zu generieren. Deutlich gravierender ist allerdings, dass sie auch genutzt werden kann, um auf dem Rechner des Opfers jedweden Code auszuführen sowie jede von den Hintermännern gewünschte Datei oder Malware herunterladen kann.

Check Point macht die Digitalmarketingagentur Rafotech aus Peking für die Operation verantwortlich. Diese verwende Fireball, um die Browser seiner Opfer zu manipulieren, sodass diese Fake-Suchmaschinen und Startseiten aufrufen. Die leiten Anfragen direkt zu yahoo.com oder google.com weiter. Zweck der Fake-Suchmaschinen ist es nur, Tracking-Pixel zu verbreiten, mit denen sich dann die unfreiwilligen Nutzer verfolgen lassen.

Die Vorgehensweise ist bis dahin zwar etwas weniger fein als bei bekannten europäischen Digitalmarketingagenturen, aber nicht wesentlich anders, was das Ergebnis anbelangt. Richtig bedenklich ist jedoch, dass Fireball Opfer nicht nur ausspionieren, sondern auch Malware auf deren Rechnern platzieren kann und es der Software möglich ist, jedweden bösartigen Code auf infizierte Maschinen zu schleusen. Laut Check Point entsteht so eine erhebliche Gefahr für betroffene Rechner und die Netzwerke, in denen sie sich befinden.

Die 250 Millionen mit Fireball infizierten Computer sind den Untersuchungsergebnissen von Check Point zufolge fast überall auf der Welt verteilt, wo es etwas zu holen gibt. Auffällige Ausnahmen sind lediglich die Länder der Sahelzone sowie der Iran und fast alle seine Nachbarländer. Indien und Brasilien seien am stärksten betroffen, aber auch in europäischen Ländern scheint Fireball weit verbreitet zu sein. In Deutschland beispielsweise sei in 9,75 Prozent der Unternehmensnetzwerke mindestens ein PC mit der Malware gefunden worden.

Verbreitung von Fireball (Grafik: Check Point)

Die Malware wird den Sicherheitsexperten zufolge meist als zusätzlicher Download zu einer anderen Software verbreitet. Auch da überschreiten die Hintermänner lediglich eine Grenze, an die sich auch große und etablierte Firmen nahe heranwagen, wenn sie zusammen mit Updates für ihre Software mittels standardmäßig gesetztem Häkchen im Download-Dialog Programme von Drittanbietern verteilen.

Bei dem ebenfalls von Rafotech angebotenen Browser Mustang, der als besonders schnell beworben wird, besteht besondere Gefahr in Bezug auf Fireball, aber auch bei dem schon länger als Adware bekannten Programm Deal WiFi, das kostenloses WLAN überall verspricht.

Infektionswege der Adware Fireball, die Check-Point-Experten als besonders ausgefeilt und daher auch besonders gefährlich einstufen (Grafik: Check Point)

Rafotech agiert wie auch andere Adware-Verbreiter nicht wirklich im Untergrund. Das Unternehmen wirbt auf seiner Website offensiv damit, dass es weltweit 300 Millionen User erreicht und dafür auch Server in Deutschland, Italien, Spanien und Polen betreibt. Zudem hat Rafotech zumindest vier Spiele entwickelt, die es offenbar mit einigem Erfolg über Google Play und in Apples App Store anbietet: Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash. Möglicherweise dienen die aber auch in erster Linie dazu, Nutzerinformationen einzusammeln.

Nach den aktuellen Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsciht zu genießen (Screenshot: silicon.de)

Die Experten von Check Point sehen Fireball und ähnliche Browser-Hijacker als eine Art Hybrid-Schöpfungen. Sie bewegen sich einerseits ganz knapp an der Grenze des Erlaubten, andererseits sind sie schon Malware. Auf jeden Fall seien sie eine enorme Gefahr. Denn obwohl keine Anzeichen vorliegen, dass Rafotech das Potenzial für kriminelle Aktivitäten bereits ausnutzt, sei es doch gegeben und könnte jederzeit aktiviert werden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Im Vergleich zu anderen Browser-Hijackern sei Fireball zudem sehr ausgereift und verwende ausgefeilte Techniken, um eine Entdeckung zu verhindern. Diesbezüglich sei es einer typischen Malware durchaus ebenbürtig und biete eine als kritisch einzustufende Hintertür auf das System, die nach Belieben ausgenutzt werden könne.

“Rafotech hat die Macht, eine weltweite Katastrophe auszulösen, ist aber nicht alleine damit. Bei unseren Forschungen haben wir andere Browser-Hijacker gefunden, die unserem Verständnis nach von anderen Urhebern entwickelt wurden. Eine davon ist ELEX Technology, ein Internet Service Anbieter, der ebenfalls in Peking ansässig ist und vergleichbare Produkte wie Rafotech entwickelt. Es gibt Hinweise darauf, dass beiden Firmen Verbindungen zueinander haben”, so Check Point.

[Mit Material von Peter Marwan, silicon.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Ohne Passwort-Management keine IT-Sicherheit

Neben hochentwickelten Firewalls und Authentifizierungsverfahren spielt eine möglichst hohe Passwortsicherheit eine entscheidende Rolle für die…

3 Tagen ago

Starke Leistung im kompakten Desktop-PC | MSI Business & Productivity Desktop-PCs für vielseitige Anwendungen

Ein klassischer Desktop-PC im Tower-Format ist nicht für jeden geeignet, besonders bei begrenztem Arbeitsraum. MSI…

3 Tagen ago

Silicon Security Day Europe

Wie kann Künstliche Intelligenz helfen, den Krieg gegen Ransomware und "Nukleare" Ransomware 3.0 zu gewinnen?

3 Tagen ago

Silicon Security Day Austria

Beim Silicon Security Day in Österreich am 2. Juni 2022 ab 9:45 Uhr dreht sich…

3 Tagen ago

ONLYOFFICE kündigt umfangreiches Update für Kollaborationsplattform und Dokumenten-Editoren an

Die quelloffene Online-Office-Lösung ONLYOFFICE kündigt ein umfangreiches Update für ihre Kollaborationsplattform (ONLYOFFICE Workspace 12.0) und…

3 Tagen ago

VeeamON: Veeam wird Marktführer bei Data Protection

Auf der Konferenz VeeamON zeigt sich Veeam sehr optimistisch. Die Zahlen unabhängiger Marktforscher bestätigen den…

3 Tagen ago