黑帽联盟

 找回密码
 会员注册
查看: 2567|回复: 1
打印 上一主题 下一主题

[国内新闻] Fireball恶意程序已袭击全球将近2.5亿台PC,背后推手是一家中国电子营销机构

[复制链接]

148

主题

9

听众

337

积分

版主

Rank: 7Rank: 7Rank: 7

  • TA的每日心情
    擦汗
    2018-6-6 11:33
  • 签到天数: 348 天

    [LV.8]以坛为家I

    Check Point研究人员最近发现了一款传播范围极广的恶意软件,感染的计算机数量高达2.5亿,包括Windows和macOS。这款恶意软件被命名为Fireball,它能够完全控制受害者的web浏览器,把他们变成“僵尸”,并让攻击者对受害者的流量进行监控,窃取数据。

    研究人员发现它背后的公司叫卿烨科技(Rafotech)。这是一家提供电子营销和手机游戏的中国公司,客户多达3亿。这家公司目前用Fireball在用户浏览器中注入广告获利,但实际上Fireball的危害不仅限于此,它完全有能力被利用进行大规模的破坏。

    Fireball从何而来
    21.png

    Fireball的传播使用了一种中国网民喜闻乐见的方式——捆绑。用户从网上下载安装免费软件后,捆绑的恶意软件就会安装浏览器插件控制受害者的浏览器配置,替换浏览器默认搜索引擎和主页,将之替换成一个假的搜索引擎:trotux.com。
    22.png

    捆绑的软件中有一些是卿烨科技的其他产品,比如Deal Wifi 和野马浏览器或者“Soso Desktop”、“FVP图片查看器”。
    23.png

    “值得注意的是当用户安装免费软件的时候,捆绑软件不一定会同时安装。”研究人员称,“另外,很有可能卿烨科技使用了其他的传播手段,比如以假冒的名称来传播免费软件、使用垃圾邮件甚至是从黑客那里购买安装量。”

    替换的假冒搜索引擎只是将用户的搜索请求重定向到雅虎或者google,但植入了追踪的像素,用来收集受害者的信息。

    Fireball能够做的事情远远超出正常范围,它能够监控受害者的web流量,在目标系统执行恶意代码、安装插件,甚至直接安装恶意软件,这样就能够在目标系统和网络中留下了巨大的后门。

    “从技术的角度来看,Fireball非常复杂精细,有一些绕过杀毒软件和防检测的手段,它使用了多层架构和C&C服务器,这不输任何真正的恶意软件。”研究人员称。

    影响范围

    “根据我们估计的感染率,1/5的企业会受到大型数据泄露攻击。”

    研究人员称,全球范围内有2.5亿台计算机受到影响,其中20%处在企业网络中。受感染的机器遍布各个国家:

    印度:2530万 (10.1%)

    巴西:2410万 (9.6%)

    墨西哥:1610万 (6.4%)

    印尼:1310万 (5.2%)

    美国:550万 (2.2%)
    24.png

    很显然,卿烨科技不会承认使用了浏览器劫持和假冒的搜索引擎,在其官网,卿烨科技称它是一家成功的数字媒体公司,在全球拥有3亿用户,讽刺的是这与Check Point所预估的2.5亿感染量不谋而合。
    25.png

    公司背景

    基于Check Point的报告,小编也对这家名为“卿烨科技”的公司进行了微小的调查。
    26.png

    工商资料显示,卿烨科技成立于2015年2月,是“数字营销行业的领先跨国公司”。

    根据卿烨科技官网的资料,公司的业务主要针对两类客户:出版商和广告商。对出版商提供广告,使媒体“在不新增广告位的前提下大幅增加收益”;针对广告商则是“以云平台和大数据技术做支撑,通过强大的数据挖掘技术快速识别用户,进行精准广告投放,支持多种形式的精准广告定向方式”。

    另一块比较重要的板块是游戏,根据卿烨科技官网的介绍,公司旗下拥有四款游戏,并且在海外的应用市场颇受欢迎。
    27.png


    卿烨科技注重游戏的海外分发,往往与当地的公司寻求合作。去年10月,卿烨科技还与Taptica合作,后者帮助在英国推广Piggy Boom游戏。
    28.png

    检测防御

    你可以尝试回答以下的这些问题,如果结果都是“不”,那很有可能中招了(即便不是Fireball,也应该是其他流氓软件)

    打开浏览器检查

    你有没有改过主页?

    你能否更改主页?

    你对默认的搜索引擎熟悉吗?可以更改吗?

    浏览器插件你都认识吗?

    要删除这款恶意软件,你只需要卸载相应程序,然后重置浏览器到初始状态。

    要进行防范也很简单——安装软件时要格外小心,不要装上捆绑软件。

    IoC

    C&C地址

    attirerpage[.]com

    s2s[.]rafotech[.]com

    trotux[.]com

    startpageing123[.]com

    funcionapage[.]com

    universalsearches[.]com

    thewebanswers[.]com

    nicesearches[.]com

    youndoo[.]com

    giqepofa[.]com

    mustang-browser[.]com

    forestbrowser[.]com

    luckysearch123[.]com

    ooxxsearch[.]com

    search2000s[.]com

    walasearch[.]com

    hohosearch[.]com

    yessearches[.]com

    d3l4qa0kmel7is[.]cloudfront[.]net

    d5ou3dytze6uf[.]cloudfront[.]net

    d1vh0xkmncek4z[.]cloudfront[.]net

    d26r15y2ken1t9[.]cloudfront[.]net

    d11eq81k50lwgi[.]cloudfront[.]net

    ddyv8sl7ewq1w[.]cloudfront[.]net

    d3i1asoswufp5k[.]cloudfront[.]net

    dc44qjwal3p07[.]cloudfront[.]net

    dv2m1uumnsgtu[.]cloudfront[.]net

    d1mxvenloqrqmu[.]cloudfront[.]net

    dfrs12kz9qye2[.]cloudfront[.]net

    dgkytklfjrqkb[.]cloudfront[.]net

    dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

    文件MD5

    FAB40A7BDE5250A6BC8644F4D6B9C28F

    69FFDF99149D19BE7DC1C52F33AAA651

    B56D1D35D46630335E03AF9ADD84B488

    2579DF066D38A15BE8142954A2633E7F

    8C61A6937963507DC87D8BF00385C0BC

    7ADB7F56E81456F3B421C01AB19B1900

    84DCB96BDD84389D4449F13EAC750986

    5BCE955CF12AF3417F055DADC0212920

    2B307E28CE531157611825EB0854C15F

    7B2868FAA915A7FC6E2D7CC5A965B1E7

    66E4D7C44D23ABF72069E745E6B617ED


    帖子永久地址: 

    黑帽联盟 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
    2、本站所有主题由该帖子作者发表,该帖子作者与黑帽联盟享有帖子相关版权
    3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和黑帽联盟的同意
    4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
    5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
    6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
    7、黑帽联盟管理员和版主有权不事先通知发贴者而删除本文

    52

    主题

    2

    听众

    310

    积分

    黑帽学员

    Rank: 3Rank: 3

  • TA的每日心情
    奋斗
    2019-9-27 16:27
  • 签到天数: 258 天

    [LV.8]以坛为家I

    唉。努力学技术
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 会员注册

    发布主题 !fastreply! 收藏帖子 返回列表 搜索
    回顶部