Pour gérer vos consentements :
Categories: SécuritéVirus

Fireball : dans l’ombre du malware se trouve la backdoor

Au-delà de leur capacité à modifier certaines options d’un navigateur Web, les logiciels malveillants qu’on dit « browser hijackers » peuvent aussi faire office de portes dérobées… ouvertes à tous les risques.

C’est le principal enseignement à tirer d’un rapport que les équipes de Check Point publient à propos d’un malware chinois qu’elles ont appelé « Fireball ».

Ce dernier entre précisément dans la catégorie des « browser hijackers ». Il aurait, d’après le fournisseur de solutions de sécurité d’origine israélienne, infecté 250 millions de machines (10,1 % au Brésil ; 9,6 % en Inde) et 20 % des réseaux d’entreprise dans le monde.

L’agence de marketing digital Rafotech, basée à Pékin, l’exploiterait dans un objectif de fraude au clic. Elle se servirait en l’occurrence de Fireball pour changer les pages d’accueil et de recherche des navigateurs de ses victimes, au profit d’un faux moteur doté d’un pixel espion pour la collecte de données.

Le malware est souvent présent sur les nouvelles machines. Son installation se déclenche à la première ouverture d’applications distribuées par Rafotech (Deal Wifi, Mustang Browser…) ou par des éditeurs tiers (Soso Desktop, FVP Image Viewer…) – autant de logiciels dont une recherche Internet suffit à démontrer qu’ils sont massivement identifiés comme des virus.

Portes ouvertes

Diffusion légale ou non ? Dans le domaine des adware, le frontière est floue. Pour Check Point, la question ne se pose pas ici. Non seulement parce que la vraie nature de Fireball n’est pas dévoilée à l’utilisateur final, pour lequel la désinstallation est par ailleurs difficile, mais aussi du fait que rien ne permet de le lier clairement à Rafotech.

Il n’est pas impossible, toujours selon l’éditeur israélien, que l’agence de marketing digital s’appuie sur d’autres leviers parmi lesquels des installations monnayées auprès de fournisseurs de solutions de sécurité.

Si les modules et fichiers de configuration que récupère Fireball lui servent à affiner sa fraude publicitaire, il est, dans l’absolu, capable de récupérer, depuis son serveur de commande dynamique, tout code, puis l’exécuter. Ou quand l’adware devient une menace beaucoup plus sérieuse.

Des liens exister vraisemblablement avec d’autres entreprises chinoises, comme ELEX Technology (services Internet), dont le logiciel YAC (« Yet another cleaner ») semble être utilisé pour installer Fireball sur certaines machines.

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago