Fireball : dans l’ombre du malware se trouve la backdoor
Check Point a baptisé Fireball un logiciel malveillant qui vise les navigateurs Web à des fins publicitaires, mais peut aussi servir de porte dérobée.
Au-delà de leur capacité à modifier certaines options d’un navigateur Web, les logiciels malveillants qu’on dit « browser hijackers » peuvent aussi faire office de portes dérobées… ouvertes à tous les risques.
C’est le principal enseignement à tirer d’un rapport que les équipes de Check Point publient à propos d’un malware chinois qu’elles ont appelé « Fireball ».
Ce dernier entre précisément dans la catégorie des « browser hijackers ». Il aurait, d’après le fournisseur de solutions de sécurité d’origine israélienne, infecté 250 millions de machines (10,1 % au Brésil ; 9,6 % en Inde) et 20 % des réseaux d’entreprise dans le monde.
L’agence de marketing digital Rafotech, basée à Pékin, l’exploiterait dans un objectif de fraude au clic. Elle se servirait en l’occurrence de Fireball pour changer les pages d’accueil et de recherche des navigateurs de ses victimes, au profit d’un faux moteur doté d’un pixel espion pour la collecte de données.
Le malware est souvent présent sur les nouvelles machines. Son installation se déclenche à la première ouverture d’applications distribuées par Rafotech (Deal Wifi, Mustang Browser…) ou par des éditeurs tiers (Soso Desktop, FVP Image Viewer…) – autant de logiciels dont une recherche Internet suffit à démontrer qu’ils sont massivement identifiés comme des virus.
Portes ouvertes
Diffusion légale ou non ? Dans le domaine des adware, le frontière est floue. Pour Check Point, la question ne se pose pas ici. Non seulement parce que la vraie nature de Fireball n’est pas dévoilée à l’utilisateur final, pour lequel la désinstallation est par ailleurs difficile, mais aussi du fait que rien ne permet de le lier clairement à Rafotech.
Il n’est pas impossible, toujours selon l’éditeur israélien, que l’agence de marketing digital s’appuie sur d’autres leviers parmi lesquels des installations monnayées auprès de fournisseurs de solutions de sécurité.
Si les modules et fichiers de configuration que récupère Fireball lui servent à affiner sa fraude publicitaire, il est, dans l’absolu, capable de récupérer, depuis son serveur de commande dynamique, tout code, puis l’exécuter. Ou quand l’adware devient une menace beaucoup plus sérieuse.
Des liens exister vraisemblablement avec d’autres entreprises chinoises, comme ELEX Technology (services Internet), dont le logiciel YAC (« Yet another cleaner ») semble être utilisé pour installer Fireball sur certaines machines.