Fireball infiziert bereits 250 Millionen Computer weltweit

Die Sicherheitsexperten von Check Point haben einer von China ausgehenden Operation nach gründlicher Untersuchung ein enormes Gefahrenpotenzial bescheinigt. Mit der darüber verbreiteten Software namens Fireball seien jetzt schon 250 Millionen Computer infiziert, so die Forscher. Fireball kann zum einen den Web-Traffic des Nutzers kapern und manipulieren, um so auf betrügerische Art und Weise Anzeigenumsätze zu generieren. Deutlich gravierender ist allerdings, dass sie auch genutzt werden kann, um auf dem Rechner des Opfers jedweden Code auszuführen sowie jede von den Hintermännern gewünschte Datei oder Malware herunterladen kann.

Check Point macht die Digitalmarketingagentur Rafotech aus Peking für die Operation verantwortlich. Diese verwende Fireball, um die Browser seiner Opfer zu manipulieren, sodass diese Fake-Suchmaschinen und Startseiten aufrufen. Die leiten Anfragen direkt zu yahoo.com oder google.com weiter. Zweck der Fake-Suchmaschinen ist es nur, Tracking-Pixel zu verbreiten, mit denen sich dann die unfreiwilligen Nutzer verfolgen lassen.

Die Vorgehensweise ist bis dahin zwar etwas weniger fein als bei bekannten europäischen Digitalmarketingagenturen, aber nicht wesentlich anders, was das Ergebnis anbelangt. Richtig bedenklich ist jedoch, dass Fireball Opfer nicht nur ausspionieren, sondern auch Malware auf deren Rechnern platzieren kann und es der Software möglich ist, jedweden bösartigen Code auf infizierte Maschinen zu schleusen. Laut Check Point entsteht so eine erhebliche Gefahr für betroffene Rechner und die Netzwerke, in denen sie sich befinden.

Die 250 Millionen mit Fireball infizierten Computer sind den Untersuchungsergebnissen von Check Point zufolge fast überall auf der Welt verteilt, wo es etwas zu holen gibt. Auffällige Ausnahmen sind lediglich die Länder der Sahelzone sowie der Iran und fast alle seine Nachbarländer. Indien und Brasilien seien am stärksten betroffen, aber auch in europäischen Ländern scheint Fireball weit verbreitet zu sein. In Deutschland beispielsweise sei in 9,75 Prozent der Unternehmensnetzwerke mindestens ein PC mit der Malware gefunden worden.

Verbreitung von Fireball (Grafik: Check Point)

Die Malware wird den Sicherheitsexperten zufolge meist als zusätzlicher Download zu einer anderen Software verbreitet. Auch da überschreiten die Hintermänner lediglich eine Grenze, an die sich auch große und etablierte Firmen nahe heranwagen, wenn sie zusammen mit Updates für ihre Software mittels standardmäßig gesetztem Häkchen im Download-Dialog Programme von Drittanbietern verteilen.

Bei dem ebenfalls von Rafotech angebotenen Browser Mustang, der als besonders schnell beworben wird, besteht besondere Gefahr in Bezug auf Fireball, aber auch bei dem schon länger als Adware bekannten Programm Deal WiFi, das kostenloses WLAN überall verspricht.

Infektionswege der Adware Fireball, die Check-Point-Experten als besonders ausgefeilt und daher auch besonders gefährlich einstufen (Grafik: Check Point)

Rafotech agiert wie auch andere Adware-Verbreiter nicht wirklich im Untergrund. Das Unternehmen wirbt auf seiner Website offensiv damit, dass es weltweit 300 Millionen User erreicht und dafür auch Server in Deutschland, Italien, Spanien und Polen betreibt. Zudem hat Rafotech zumindest vier Spiele entwickelt, die es offenbar mit einigem Erfolg über Google Play und in Apples App Store anbietet: Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash. Möglicherweise dienen die aber auch in erster Linie dazu, Nutzerinformationen einzusammeln.

Nach den aktuellen Erkenntnissen der Sicherheitsforscher von Check Point sind auch die von Rafotech angebotenen Spiele Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash mit Vorsciht zu genießen (Screenshot: silicon.de)

Die Experten von Check Point sehen Fireball und ähnliche Browser-Hijacker als eine Art Hybrid-Schöpfungen. Sie bewegen sich einerseits ganz knapp an der Grenze des Erlaubten, andererseits sind sie schon Malware. Auf jeden Fall seien sie eine enorme Gefahr. Denn obwohl keine Anzeichen vorliegen, dass Rafotech das Potenzial für kriminelle Aktivitäten bereits ausnutzt, sei es doch gegeben und könnte jederzeit aktiviert werden.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Im Vergleich zu anderen Browser-Hijackern sei Fireball zudem sehr ausgereift und verwende ausgefeilte Techniken, um eine Entdeckung zu verhindern. Diesbezüglich sei es einer typischen Malware durchaus ebenbürtig und biete eine als kritisch einzustufende Hintertür auf das System, die nach Belieben ausgenutzt werden könne.

“Rafotech hat die Macht, eine weltweite Katastrophe auszulösen, ist aber nicht alleine damit. Bei unseren Forschungen haben wir andere Browser-Hijacker gefunden, die unserem Verständnis nach von anderen Urhebern entwickelt wurden. Eine davon ist ELEX Technology, ein Internet Service Anbieter, der ebenfalls in Peking ansässig ist und vergleichbare Produkte wie Rafotech entwickelt. Es gibt Hinweise darauf, dass beiden Firmen Verbindungen zueinander haben”, so Check Point.

[Mit Material von Peter Marwan, silicon.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago