Au-delà de leur capacité à modifier certaines options d’un navigateur Web, les logiciels malveillants qu’on dit « browser hijackers » peuvent aussi faire office de portes dérobées… ouvertes à tous les risques.
C’est le principal enseignement à tirer d’un rapport que les équipes de Check Point publient à propos d’un malware chinois qu’elles ont appelé « Fireball ».
Ce dernier entre précisément dans la catégorie des « browser hijackers ». Il aurait, d’après le fournisseur de solutions de sécurité d’origine israélienne, infecté 250 millions de machines (10,1 % au Brésil ; 9,6 % en Inde) et 20 % des réseaux d’entreprise dans le monde.
L’agence de marketing digital Rafotech, basée à Pékin, l’exploiterait dans un objectif de fraude au clic. Elle se servirait en l’occurrence de Fireball pour changer les pages d’accueil et de recherche des navigateurs de ses victimes, au profit d’un faux moteur doté d’un pixel espion pour la collecte de données.
Le malware est souvent présent sur les nouvelles machines. Son installation se déclenche à la première ouverture d’applications distribuées par Rafotech (Deal Wifi, Mustang Browser…) ou par des éditeurs tiers (Soso Desktop, FVP Image Viewer…) – autant de logiciels dont une recherche Internet suffit à démontrer qu’ils sont massivement identifiés comme des virus.
Diffusion légale ou non ? Dans le domaine des adware, le frontière est floue. Pour Check Point, la question ne se pose pas ici. Non seulement parce que la vraie nature de Fireball n’est pas dévoilée à l’utilisateur final, pour lequel la désinstallation est par ailleurs difficile, mais aussi du fait que rien ne permet de le lier clairement à Rafotech.
Il n’est pas impossible, toujours selon l’éditeur israélien, que l’agence de marketing digital s’appuie sur d’autres leviers parmi lesquels des installations monnayées auprès de fournisseurs de solutions de sécurité.
Si les modules et fichiers de configuration que récupère Fireball lui servent à affiner sa fraude publicitaire, il est, dans l’absolu, capable de récupérer, depuis son serveur de commande dynamique, tout code, puis l’exécuter. Ou quand l’adware devient une menace beaucoup plus sérieuse.
Des liens exister vraisemblablement avec d’autres entreprises chinoises, comme ELEX Technology (services Internet), dont le logiciel YAC (« Yet another cleaner ») semble être utilisé pour installer Fireball sur certaines machines.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…