Fireball, la boule de feu chinoise !

Source : Check Point

Check Point Threat Intelligence et leurs équipes de recherche ont récemment découvert une opération de menace chinoise à haut volume qui a infecté plus de 250 millions d’ordinateurs dans le monde entier. Le malware installé, Fireball, prend les navigateurs pour cibles et les transforme en zombies. Fireball dispose de deux fonctionnalités principales: la capacité d’exécuter n’importe quel code sur les ordinateurs victimes et en détournant / manipulant le trafic Web des utilisateurs infectés afin de générer des revenus publicitaires. Actuellement, Fireball installe des plug-ins pour augmenter ses publicités, mais il peut aussi facilement transformer la victime en un distributeur important pour tout malware supplémentaire.

Cette opération est gérée par Rafotech, une grande agence de marketing numérique basée à Pékin. Rafotech utilise Fireball pour manipuler les navigateurs des victimes et changer leurs moteurs de recherche par défaut mais aussi collecter des informations privées. Fireball a la possibilité d’espionner les victimes, de produire des logiciels malveillants et d’exécuter tout code malveillant dans les machines infectées, ce qui crée une faille de sécurité massive dans les machines et les réseaux ciblés.

POINTS CLÉS

  • Les analystes de Check Point ont découvert une opération de menace chinoise à haut volume qui a infecté plus de 250 millions d’ordinateurs dans le monde et 20% des réseaux d’entreprises.
  • Le logiciel malveillant, appelé Fireball, agit comme un « navigateur-pirates » mais peut être transformé en un programme de téléchargement de logiciels malveillants. Fireball est capable d’exécuter n’importe quel code sur les machines victimes, ce qui entraîne une large gamme d’actions, du vol d’informations d’identification et la propagation de logiciels malveillants supplémentaires.
  • Fireball se répand insideusement en se « masquant » lors d’installation de programmes sains.
  • L’opération est gérée par l’agence chinoise de marketing numérique Rafotech.

COMMENT VÉRIFIER QUE JE SUIS INFECTÉ ?

Pour vérifier si vous êtes infectés, ouvrez d’abord votre navigateur Web. Votre page d’accueil a-t-elle été définie par vous? Pouvez-vous le modifier ? Connaissez-vous votre moteur de recherche par défaut et pouvez-vous modifier cela aussi ? Vous souvenez-vous d’avoir installer toutes les extensions de votre navigateur?

Si la réponse à n’importe laquelle de ces question est «non» alors c’est un signe d’une probable infection avec cet Adware / Malware.

HOW DO I REMOVE THE MALWARE, ONCE INFECTED ?

To remove almost any adware, follow these simple steps:

  1. Uninstall the adware by removing the application from the Programs and Features list in the Windows Control Panel.

 

For Mac OS users:

  1. Use the Finder to locate the Applications
  2. Drag the suspicious file to the Trash.
  3. Empty the Trash.

 

Note – A usable program is not always installed on the machine and therefore may not be found on the program list.

 

  1. Scan and clean your machine, using:
  • Anti-Malware software
  • Adware cleaner software

 

  1. Remove malicious Add-ons, extensions or plug-ins from your browser:
On Google Chrome:

a.       Click the Chrome menu icon and select Tools > Extensions.

b.      Locate and select any suspicious Add-ons.

c.       Click the trash can icon to delete.

 

On Internet Explorer:

a.       Click the Setting icon and select Manage Add-ons.

b.      Locate and remove any malicious Add-ons.

On Mozilla Firefox:

a.       Click the Firefox menu icon and go to the Tools tab.

b.      Select Add-ons > Extensions.

A new window opens.

c.       Remove any suspicious Add-ons.

d.      Go to the Add-ons manager > Plugins.

e.      Locate and disable any malicious plugins.

 

On Safari:

a.       Make sure the browser is active.

b.      Click the Safari tab and select preferences.

A new window opens.

c.       Select the Extensions tab.

d.      Locate and uninstall any suspicious extensions.

 

 

  1. Restore your internet browser to its default settings:
On Google Chrome:

a.       Click the Chrome menu icon, and select Settings.

b.      In the On startup section, click Set Pages.

c.       Delete the malicious pages from the Startup pages list.

d.      Find the Show Home button option and select Change.

e.      In the Open this page field, delete the malicious search engine page.

f.        In the Search section, select Manage search engines.

g.       Select the malicious search engine page and remove from the list.

On Internet Explorer:

a.       Select the Tools tab and then select Internet Options.

A new window opens.

b.      In the Advanced tab, select Reset.

c.       Check the Delete personal settings box.

d.      Click the Reset button.

On Mozilla Firefox:

a.       Enable the browser Menu Bar by clicking the blank space near the page tabs.

b.      Click the Help tab, and go to Troubleshooting information.

A new window opens.

c.       Select Reset Firefox.

On Safari:

a.       Select the Safari tab and then select Preferences.

A new window opens.

b.      In the Privacy tab, the Manage Website Data… button.

A new window opens.

c.       Click the Remove All button.

 

INDICATORS OF COMPROMISE

C&C addresses

  • attirerpage[.]com
  • s2s[.]rafotech[.]com
  • trotux[.]com
  • startpageing123[.]com
  • funcionapage[.]com
  • universalsearches[.]com
  • thewebanswers[.]com
  • nicesearches[.]com
  • youndoo[.]com
  • giqepofa[.]com
  • mustang-browser[.]com
  • forestbrowser[.]com
  • luckysearch123[.]com
  • ooxxsearch[.]com
  • search2000s[.]com
  • walasearch[.]com
  • hohosearch[.]com
  • yessearches[.]com
  • d3l4qa0kmel7is[.]cloudfront[.]net
  • d5ou3dytze6uf[.]cloudfront[.]net
  • d1vh0xkmncek4z[.]cloudfront[.]net
  • d26r15y2ken1t9[.]cloudfront[.]net
  • d11eq81k50lwgi[.]cloudfront[.]net
  • ddyv8sl7ewq1w[.]cloudfront[.]net
  • d3i1asoswufp5k[.]cloudfront[.]net
  • dc44qjwal3p07[.]cloudfront[.]net
  • dv2m1uumnsgtu[.]cloudfront[.]net
  • d1mxvenloqrqmu[.]cloudfront[.]net
  • dfrs12kz9qye2[.]cloudfront[.]net
  • dgkytklfjrqkb[.]cloudfront[.]net
  • dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

 

File Hashes

  • FAB40A7BDE5250A6BC8644F4D6B9C28F
  • 69FFDF99149D19BE7DC1C52F33AAA651
  • B56D1D35D46630335E03AF9ADD84B488
  • 8C61A6937963507DC87D8BF00385C0BC
  • 7ADB7F56E81456F3B421C01AB19B1900
  • 84DCB96BDD84389D4449F13EAC75098
  • 2B307E28CE531157611825EB0854C15F
  • 7B2868FAA915A7FC6E2D7CC5A965B1E
, ,
Article précédent
Ressources Graphiques
Article suivant
Plusieurs trous de sécurité pour OpenVPN

Articles liés

Menu