08/06/2017

Fireball: adware z potencjalnymi konsekwencjami nuklearnymi

Informacje Zagrożenia

Reklamy mogą czasami denerwować, a do tego mogą być szkodliwe. Firmy, które zarabiają na ich sprzedawaniu, czasami posuwają się zbyt daleko, próbując za wszelką cenę wyświetlić reklamę użytkownikowi. Niedawno badacze odkryli, że jedna z takich firm —  duża agencja trudniąca się marketingiem cyfrowym — zainstalowała program wyświetlający reklamy (ang. adware) na 250 milionach komputerów z systemem Windows i macOS na całym świecie.

Co gorsza, może on przekształcić się w pełnoprawny szkodliwy program kierujący użytkowników na szkodliwe strony, a także przemycić na ich komputery szkodliwy program (ang. malware). I nikt tego nie zauważył — aż do teraz.

Niewidzialny Fireball

Adware to rodzaj aplikacji, która wyświetla reklamy lub gromadzi dane w celu utworzenia profilu użytkownika i sprzedania go agencjom reklamowym, które z kolei wyświetlają mu później dopasowane reklamy. Adware najczęściej przedostaje się do komputerów wraz z innym oprogramowaniem. Autorzy programów typu adware są gotowi zapłacić za takie powiązanie programów, więc czasami programiści darmowych programów chętnie się na to godzą.

Jednak efekty takiego powiązania mogą być różne. Zazwyczaj użytkownik jest informowany o tym, że wraz z wybranym programem zostanie zainstalowane coś jeszcze. Tymczasem Fireball, czyli wspomniane adware, nie pyta użytkownika ani nie daje mu szansy na rezygnację z takiej instalacji i zwyczajnie instaluje je po cichu. Należy tu wspomnieć, że gratisowy program wyświetlający reklamy niekoniecznie jest instalowany w tym samym czasie co darmowy program: może on pojawić się po jakimś czasie, gdy Twoja czujność spadnie.

Fireball to program porywający przeglądarkę — zmienia ją tak, aby działała zgodnie z potrzebami jego twórcy. Zmieniana jest strona startowa i domyślny silnik wyszukiwania, a próby ich przywrócenia są blokowane. Ustawione jako domyślne przez Fireballa fałszywe silniki wyszukiwania zawierają piksele śledzące, które gromadzą dane o użytkowniku do celów marketingowych. Co więcej, na zainfekowanym urządzeniu Fireball może wykonywać dowolny kod i pobierać rozszerzenia przeglądarki lub inne programy.

Co ciekawe, mimo swojej szkodliwej natury Fireball jest podpisany legalnymi certyfikatami cyfrowymi, dzięki czemu wydaje się nieszkodliwy. Stosując także inne techniki ukrywające oszustwo, utrudnia pakietom zabezpieczającym zidentyfikowanie go i oznaczenie jako szkodliwy. Z tego powodu ta rozprzestrzeniająca się epidemia mogła pozostawać przez jakiś czas niedostrzeżona.

Dlaczego Fireball jest tak niebezpieczny

Dodatkowe reklamy i śledzenie mogą wydawać się uciążliwe, ale nie niebezpieczne. Jednak możliwości Fireballa w zakresie pobierania i instalowania rozszerzeń przeglądarki oraz wykonywania kodu na zainfekowanym urządzeniu czynią z niego idealnego backdoora — którego można użyć na wiele sposobów: przeważnie do umieszczania na komputerze niepożądanych rzeczy w celu zbierania informacji krytycznych lub infekowania urządzenia różnymi szkodliwymi programami.

Według badaczy, którzy wykryli Fireballa, zainfekował on już ponad 250 milionów urządzeń na całym świecie i można go znaleźć w co piątej sieci firmowej. Jeśli (lub gdy) jego autorzy zdecydują się wykorzystać go do szpiegowania, Fireball może stać się globalną katastrofą.

Po czym poznać infekcję?

Mimo podstępnego charakteru działania Fireballa dostrzeżenie go nie jest trudne. Otwórz przeglądarkę i przyjrzyj się stronie domowej oraz sprawdź silnik wyszukiwania — czy zostały one wybrane przez Ciebie? Czy możesz zmienić ich ustawienia? Jeśli strona domowa jest inna niż zwykle lub nie możesz zmienić wspomnianych ustawień, urządzenie może być zainfekowane programem typu adware — Fireballem lub czymś innym.

Jeśli możesz zmienić te ustawienia, a domyślna strona domowa i silnik wyszukiwania są w nienaruszonym stanie, prawdopodobnie infekcja Fireballem Cię nie dotyczy. Niemniej jednak warto uruchomić skanowanie antywirusowe, bo zawsze lepiej dmuchać na zimne.

Magiczna tarcza konta Fireball

Jeśli grywasz w gry RPG, pewnie wiesz, że najlepszą ochroną przed ognistymi kulami jest magiczna tarcza. W tym przypadku będzie nią dobry produkt zabezpieczający.

Na przykład aby ochronić swój komputer przed adware, możesz zmienić ustawienia swojego programu Kaspersky Internet Security tak, aby blokował on instalacje tak zwanych potencjalnie niechcianych programów. Wówczas nasz program będzie wykrywał i blokował wszelkie próby instalowania adware, trzymając Fireballa i jemu podobne z dala od komputera. O tym, jak dostosować takie ustawienia, przeczytasz tutaj.