Die Sicherheitsexperten von Check Point haben einer von China ausgehenden Operation nach gründlicher Untersuchung ein enormes Gefahrenpotenzial bescheinigt. Mit der darüber verbreiteten Software namens Fireball seien jetzt schon 250 Millionen Computer infiziert, so die Forscher. Fireball kann zum einen den Web-Traffic des Nutzers kapern und manipulieren, um so auf betrügerische Art und Weise Anzeigenumsätze zu generieren. Deutlich gravierender ist allerdings, dass sie auch genutzt werden kann, um auf dem Rechner des Opfers jedweden Code auszuführen sowie jede von den Hintermännern gewünschte Datei oder Malware herunterladen kann.
Check Point macht die Digitalmarketingagentur Rafotech aus Peking für die Operation verantwortlich. Diese verwende Fireball, um die Browser seiner Opfer zu manipulieren, sodass diese Fake-Suchmaschinen und Startseiten aufrufen. Die leiten Anfragen direkt zu yahoo.com oder google.com weiter. Zweck der Fake-Suchmaschinen ist es nur, Tracking-Pixel zu verbreiten, mit denen sich dann die unfreiwilligen Nutzer verfolgen lassen.
Die Vorgehensweise ist bis dahin zwar etwas weniger fein als bei bekannten europäischen Digitalmarketingagenturen, aber nicht wesentlich anders, was das Ergebnis anbelangt. Richtig bedenklich ist jedoch, dass Fireball Opfer nicht nur ausspionieren, sondern auch Malware auf deren Rechnern platzieren kann und es der Software möglich ist, jedweden bösartigen Code auf infizierte Maschinen zu schleusen. Laut Check Point entsteht so eine erhebliche Gefahr für betroffene Rechner und die Netzwerke, in denen sie sich befinden.
Die 250 Millionen mit Fireball infizierten Computer sind den Untersuchungsergebnissen von Check Point zufolge fast überall auf der Welt verteilt, wo es etwas zu holen gibt. Auffällige Ausnahmen sind lediglich die Länder der Sahelzone sowie der Iran und fast alle seine Nachbarländer. Indien und Brasilien seien am stärksten betroffen, aber auch in europäischen Ländern scheint Fireball weit verbreitet zu sein. In Deutschland beispielsweise sei in 9,75 Prozent der Unternehmensnetzwerke mindestens ein PC mit der Malware gefunden worden.
Die Malware wird den Sicherheitsexperten zufolge meist als zusätzlicher Download zu einer anderen Software verbreitet. Auch da überschreiten die Hintermänner lediglich eine Grenze, an die sich auch große und etablierte Firmen nahe heranwagen, wenn sie zusammen mit Updates für ihre Software mittels standardmäßig gesetztem Häkchen im Download-Dialog Programme von Drittanbietern verteilen.
Bei dem ebenfalls von Rafotech angebotenen Browser Mustang , der als besonders schnell beworben wird, besteht besondere Gefahr in Bezug auf Fireball, aber auch bei dem schon länger als Adware bekannten Programm Deal WiFi , das kostenloses WLAN überall verspricht.
Rafotech agiert wie auch andere Adware-Verbreiter nicht wirklich im Untergrund. Das Unternehmen wirbt auf seiner Website offensiv damit, dass es weltweit 300 Millionen User erreicht und dafür auch Server in Deutschland, Italien, Spanien und Polen betreibt. Zudem hat Rafotech zumindest vier Spiele entwickelt, die es offenbar mit einigem Erfolg über Google Play und in Apples App Store anbietet: Piggy Boom, Casual Warrior, Cutie Riot und Cutie Clash. Möglicherweise dienen die aber auch in erster Linie dazu, Nutzerinformationen einzusammeln.
Die Experten von Check Point sehen Fireball und ähnliche Browser-Hijacker als eine Art Hybrid-Schöpfungen. Sie bewegen sich einerseits ganz knapp an der Grenze des Erlaubten, andererseits sind sie schon Malware. Auf jeden Fall seien sie eine enorme Gefahr. Denn obwohl keine Anzeichen vorliegen, dass Rafotech das Potenzial für kriminelle Aktivitäten bereits ausnutzt, sei es doch gegeben und könnte jederzeit aktiviert werden.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Im Vergleich zu anderen Browser-Hijackern sei Fireball zudem sehr ausgereift und verwende ausgefeilte Techniken, um eine Entdeckung zu verhindern. Diesbezüglich sei es einer typischen Malware durchaus ebenbürtig und biete eine als kritisch einzustufende Hintertür auf das System, die nach Belieben ausgenutzt werden könne.
“Rafotech hat die Macht, eine weltweite Katastrophe auszulösen, ist aber nicht alleine damit. Bei unseren Forschungen haben wir andere Browser-Hijacker gefunden, die unserem Verständnis nach von anderen Urhebern entwickelt wurden. Eine davon ist ELEX Technology, ein Internet Service Anbieter, der ebenfalls in Peking ansässig ist und vergleichbare Produkte wie Rafotech entwickelt. Es gibt Hinweise darauf, dass beiden Firmen Verbindungen zueinander haben”, so Check Point.
[Mit Material von Peter Marwan, silicon.de ]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
