Un nouveau malware est en train de se répandre comme une trainée de poudre sur le web. Ayant déjà infecté 250 millions de postes de travail dans le monde, le logiciel malveillant Fireballl, d’origine chinoise, s’est déjà attaqué à 20% des réseaux d’entreprise d’après l’éditeur en sécurité Check Point Software. « Le logiciel malveillant agit comme un navigateur pirate mais peut être transformé en un programme de téléchargement de malwares. Fireball est capable d’exécuter n’importe quel code sur les machines victimes, ce qui entraîne une large gamme d’actions, allant du vol d’informations d’identification à l’ajout de logiciels malveillants supplémentaires », indiquent dans un blog l’équipe de chercheurs Threat Intelligence de Check Point.

Fireball dispose de deux fonctionnalités principales. Tout d’abord une capacité à faire tourner du code sur les systèmes infectés permettant de télécharger d’autres malwares ou fichiers indésirables. La seconde, de manipuler le navigateur web des systèmes cibles pour installer des plugins générateurs de revenus mais pas seulement. « Fireball manipule les navigateurs des victimes et modifie les moteurs de recherche par défaut et les pages d’accueil. Ces faux moteurs incluent un traqueur de pixels utilisé pour collecter les informations privées », prévient l’éditeur de sécurité. D’après Check Point, Fireball est contrôlé par Rafotech, une grande agence de marketing digital basée à Pékin.

Des URL malveillantes pour lancer des attaques control and command

Parmi les pays les plus infectés par Fireball, on trouve l’Inde (10,1% du nombre total d’infections), et le Brésil (9,6%). Suivent le Mexique (6,4%), l’Indonésie (5,2%) ou encore les Etats-Unis (2,2%) avec 5,5 millions d’infections identifiées. Autre facteur de l’infection rapide de ce malware : « D’après les données de trafic web d’Alexa, 14 de ces faux moteurs de recherche font partie du top 10 000 des sites web, certains entrant occasionnellement dans le top 1 000 », indique Check Point.

Pour vérifier si l’on est infecté par Fireball – et tout type de malware détournant les navigateurs et les moteurs de recherche – quelques règles de bon sens s’imposent. Tout d’abord vérifier que la page d’accueil habituelle de son navigateur n’a pas été changée, qu’il est possible de la modifier et qu’aucune extension non installée par l’utilisateur soit présente. Si la désinstallation du programme indésirable est évidemment hautement recommandée, un scan anti-malware et anti-adware s’impose également. Parmi les URL compromettantes identifiées par Check Point permettant de lancer des attaques de type control and command, on trouve en particulier attirerpage.com, s2s.rafotech.com, trotux.com, startpageing123.com, funcionpage.com, universalsearches.com, thewebanswers.com, nicesearches.com ou encore youndoo.com, giqepofa.com, mustang-browser.com et search2000s.com.