Au-delà de leur capacité à modifier certaines options d’un navigateur Web, les logiciels malveillants qu’on dit « browser hijackers » peuvent aussi faire office de portes dérobées… ouvertes à tous les risques.
C’est le principal enseignement à tirer d’un rapport que les équipes de Check Point publient à propos d’un malware chinois qu’elles ont appelé « Fireball ».
Ce dernier entre précisément dans la catégorie des « browser hijackers ». Il aurait, d’après le fournisseur de solutions de sécurité d’origine israélienne, infecté 250 millions de machines (10,1 % au Brésil ; 9,6 % en Inde) et 20 % des réseaux d’entreprise dans le monde.
L’agence de marketing digital Rafotech, basée à Pékin, l’exploiterait dans un objectif de fraude au clic. Elle se servirait en l’occurrence de Fireball pour changer les pages d’accueil et de recherche des navigateurs de ses victimes, au profit d’un faux moteur doté d’un pixel espion pour la collecte de données.
Le malware est souvent présent sur les nouvelles machines. Son installation se déclenche à la première ouverture d’applications distribuées par Rafotech (Deal Wifi, Mustang Browser…) ou par des éditeurs tiers (Soso Desktop, FVP Image Viewer…) – autant de logiciels dont une recherche Internet suffit à démontrer qu’ils sont massivement identifiés comme des virus.
Diffusion légale ou non ? Dans le domaine des adware, le frontière est floue. Pour Check Point, la question ne se pose pas ici. Non seulement parce que la vraie nature de Fireball n’est pas dévoilée à l’utilisateur final, pour lequel la désinstallation est par ailleurs difficile, mais aussi du fait que rien ne permet de le lier clairement à Rafotech.
Il n’est pas impossible, toujours selon l’éditeur israélien, que l’agence de marketing digital s’appuie sur d’autres leviers parmi lesquels des installations monnayées auprès de fournisseurs de solutions de sécurité.
Si les modules et fichiers de configuration que récupère Fireball lui servent à affiner sa fraude publicitaire, il est, dans l’absolu, capable de récupérer, depuis son serveur de commande dynamique, tout code, puis l’exécuter. Ou quand l’adware devient une menace beaucoup plus sérieuse.
Des liens exister vraisemblablement avec d’autres entreprises chinoises, comme ELEX Technology (services Internet), dont le logiciel YAC (« Yet another cleaner ») semble être utilisé pour installer Fireball sur certaines machines.
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
