9 июня 2017

Fireball: рекламное приложение с функцией ядерной бомбы

Новости Угрозы

Реклама может не только раздражать, но и причинять вред. Компании, зарабатывающие на продаже рекламы, в стараниях подсунуть ее вам периодически заходят слишком далеко. Недавно обнаружилось, что одна такая компания — крупное агентство по цифровому маркетингу — установила рекламную программу на 250 миллионов компьютеров под управлением Windows и macOS по всему миру.

Хуже того, эта программа способна из вроде бы безобидной рекламной утилиты превращаться в полноценного зловреда, который может перенаправлять пользователей на вредоносные сайты и устанавливать других зловредов на их компьютеры. И никто этого даже не замечал — до сих пор.

Незримый Fireball

Рекламная программа (adware) — это такие приложения, которые либо показывают вам рекламу, либо собирают о вас данные, чтобы создать ваш профиль и продать его рекламным агентствам, которые, в свою очередь, будут делать что? Показывать вам рекламу! Чаще всего рекламные приложения проникают на компьютеры как довесок к какой-то другой программе. Создатели рекламной программы готовы заплатить за то, чтобы их творение распространяли вместе с чем-то полезным, и некоторые разработчики бесплатного ПО на это соглашаются, поставляя рекламную программу в комплекте со своими собственными продуктами – надо же их как-то монетизировать.

Однако то, как это делается, может выглядеть очень по-разному. В то время как обычно вас оповещают о дополнительном ПО, которое устанавливается вместе со скачиваемым приложением, рекламная программа Fireball, которой, собственно, и посвящен сегодняшний пост, не запрашивает разрешения пользователя на установку и не дает возможности ее отменить — она просто скрытно устанавливается. Кстати, вот еще что: рекламная программа, входящая в один комплект с другими продуктами, не обязательно устанавливается в то же самое время, что и эти самые продукты. Она может установиться и позже — когда вы потеряете бдительность и не будете думать о том, что от поставленной программы можно ожидать каких-то неприятностей.

После установки Fireball взламывает браузер – по сути, модифицирует его так, что он начинает работать на создателя Fireball. Например, он меняет домашнюю страницу и поисковую службу по умолчанию, а также не позволяет вернуть их обратно, как было. Поддельные поисковые службы, которые Fireball устанавливает по умолчанию, содержат отслеживающие пиксели, которые собирают данные о пользователях для маркетинговых целей. Также Fireball может исполнять любой код на зараженном компьютере и скачивать расширения для браузера и даже другие программы.

Интересно, что несмотря на свой вредоносный характер, Fireball подписана легитимным цифровым сертификатом, и это сбивает многие защитные решения с толку – им кажется, что эта программа совершенно безвредна. Она также использует и другие методы обхода систем обнаружения, в результате чего защитным решениям становится сложнее обнаружить Fireball и отметить его как вредоносную программу. Именно поэтому никто и не замечал распространение этой эпидемии в течение некоторого времени — ведь Fireball казался легитимным приложением.

Чем опасен Fireball?

Дополнительная реклама вместе со слежкой могут казаться назойливыми, но не опасными. А вот то, что Fireball может скачивать и устанавливать расширения для браузера и выполнять любой код на зараженном устройстве, превращают это рекламное приложение в отличный бэкдор. Использовать его можно самыми разными способами — в основном для установки нехороших программ на ваш компьютер и перехвата важной информации или для заражения вашего устройства различными видами зловредов.

По данным исследователей, которые обнаружили Fireball, эта рекламная программа уже заразила более 250 миллионов устройств по всему миру и встречается в каждой пятой корпоративной сети. Fireball может стать всемирной катастрофой, если (или, скорее, как только) его создатели решат использовать свое творение для шпионажа.

Как убедиться, что мой компьютер не заражен?

Несмотря на то, что Fireball отлично прячется от некоторых защитных решений, эту программу достаточно легко заметить. Откройте ваш браузер и посмотрите на домашнюю страницу — вы ли ее устанавливали? А как насчет поисковой службы по умолчанию? Можете ли вы изменить настройки, чтобы установить другую домашнюю страницу и поисковую службу по умолчанию? Если вы ответили «нет» хотя бы на один из этих вопросов, то, вероятно, ваш компьютер заражен рекламной программой – может, это Fireball, а может, что-то еще.

Если настройки меняются без проблем, и вы уверены, что вашу домашнюю страницу и поисковую службу по умолчанию никто не трогал, то, скорее всего, Fireball на вашем компьютере нет. Однако почему бы почему бы не подстраховаться и не запустить проверку на вирусы – это всегда лучше делать раньше, а не позже.

Щиты против огненных шаров

Если вы играете в игры жанра RPG, то наверняка знаете, что лучшая защита от файерболов (англ. fireball — огненный шар) — это хороший магический щит. Ну а в данном случае лучшим магическим щитом будет надежный антивирус.

Например, чтобы защитить ваш компьютер от любых рекламных программ, вы можете изменить настройки в Kaspersky Internet Security и запретить устанавливать так называемые потенциально нежелательные программы. После этого защитное решение будет обнаруживать и блокировать любые попытки установить рекламную программу, защищая ваш компьютер от Fireball и ему подобных. О том, как выставить такие настройки, читайте здесь.