A Rafotech usa o Fireball para manipular os browsers das vítimas e substituir os seus motores de pesquisa por falsos, que simplesmente redirecionam os resultados das buscas para yahoo.com ou Google.com. Os motores de busca falsos incluem os pixels de rastreamento usados ​​para recolher a informação privada dos utilizadores.

Esta ameaça tem duas funcionalidades principais: executar código no computador da vítima para descarregar qualquer ficheiro ou malware, e manipular o tráfego web para gerar receitas publicitárias. Além disso, instala plug-ins e configurações adicionais que aumentam o número de anúncios emergentes.

Apesar de por enquanto só mostrar publicidade e redirecionar o utilizador para páginas fraudulentas, tem a capacidade de obrigar o computador a fazer qualquer coisa. Com efeito, o Fireball também pode espiar as vítimas, plantar malware e executar qualquer código malicioso nas máquinas infetadas, criando assim uma grande falha de segurança em sistemas e redes específicos.

Embora a Rafotech tenha negado o seu papel na criação deste malware, o seu número oficial de clientes coincide com as vítimas. Outra razão que leva a Check Point a apontá-los como sendo os criadores prende-se com o facto de o Fireball se aloja automaticamente nos equipamentos que instalam alguns dos seus programas gratuitos, como Deal Wifi ou Mustang Browser.

A Check Point suspeita que a Rafotech está a utilizar outros vetores de ataque, como a distribuição de freeware com nomes falsos, spam ou pagando a cibercriminosos para que o introduzam em computadores alheios.

250 milhões vítimas e 20% das redes empresariais de todo o mundo afetadas

De acordo com a investigação da Check Point, o Fireball já infetou mais de 250 milhões de computadores em todo o mundo: 25,3 milhões na Índia (10,1%), 24,1 milhões no Brasil (9,6%), 16,1 milhões no México (6,4%), 13,1 milhões na Indonésia (5,2%) e 5,5 milhões nos Estados Unidos (2,2%).


Baseando-se nos sensores globais da Check Point, a percentagem de empresas vítimas é ainda mais alarmante: o malware afeta 20% de todas as redes corporativas. Os países mais afetados são a Indonésia (60%), a Índia (43%) e o Brasil (38%).

Na Europa, Portugal está no quarto lugar dos países mais afetados, com 35,34% do seu tecido empresarial infetado com este malware. Antecedem-no a Turquia (40,1%), a Sérvia (36,7%) e a Macedónia (35,7%).

Outro indicador da taxa de infeção incrivelmente alta é a propagação dos motores de busca falsos da Rafotech. De acordo com os dados de tráfego web da Alexa, 14 destes motores de pesquisa falsos encontram-se entre as 10.000 páginas mais populares.

A Check Point afirma que o Fireball é provavelmente a campanha de infeção de sequestro de browsers mais importante de sempre. O seu alcance total é ainda desconhecido, mas, com pelo menos uma em cada cinco empresas afetadas, é sem dúvida uma grande ameaça para o ecossistema global de cibersegurança.

Para saber mais acerca do Fireball, como detetá-lo e apagá-lo do seu computador, visite o blogue da Check Point em http://blog.checkpoint.com/2017/06/01/fireball-chinese-malware-250-million-infection/