Sigue la alarma cibercriminal, con 250 millones de ordenadores infectados por Fireball
No parece que el panorama de los ciberataques se haya disipado precisamente, más bien al contrario, a pesar de que la atención mediática sea menor que con el caso de WannaCry. Tras la última campaña de malware descubierta, la de Judy, otro virus llamado Fireball ha infectado a más de 250 millones de víctimas a nivel global, con 1 de cada 5 redes corporativas del mundo afectadas, y 1 de cada 4 en España.
Los investigadores de Check Point Software Technologies, el mayor proveedor mundial especializado en seguridad, han anunciado el descubrimiento de Fireball, un malware de origen chino que ha infectado a más de 250 millones de ordenadores en todo el mundo.
Fireball se hace con el control de los navegadores de internet de los equipos infectados y los convierte en “zombies” que obedecen las órdenes del ciberdelincuente. Tiene dos funcionalidades principales: ejecutar código en el ordenador de la víctima para descargar cualquier archivo o malware, y manipular el tráfico web para generar ingresos publicitarios. Además, instala plug-ins y configuraciones adicionales que aumentan el número de anuncios emergentes.
A pesar de que en la actualidad solo muestra publicidad y redirige al usuario a páginas fraudulentas, tiene la capacidad de obligar al ordenador a hacer cualquier cosa. Puede espiar a la víctima, instalar malware adicional y ejecutar cualquier código malicioso, creando fallos de seguridad masivos.
Rafotech, una gran agencia de marketing digital con sede en Beijing, es el equipo responsable de Fireball. Utiliza el malware para manipular los navegadores web de los ordenadores infectados, y sustituye sus páginas de inicio y buscadores predeterminados por motores de búsqueda falsos que redirigen las consultas de Yahoo o Google. Además, incluyen píxeles de seguimiento utilizados para recopilar la información privada de los usuarios.
Aunque la empresa ha negado tener nada que ver con la creación de malware y de buscadores falsos, su número oficial de clientes coincide sospechosamente con el de las víctimas. Otra razón para señalarles como sus creadores es el hecho de que Fireball se instala automáticamente en los equipos que adquieren alguno de sus programas gratuitos, como Deal Wifi o Mustang Browser.
Check Point sospecha que Rafotech está utilizando otros vectores de ataque, como la distribución de freeware con nombres falsos, spam o pagando a ciberdelincuentes para que lo introduzcan en ordenadores ajenos.
250 millones de víctimas y el 20% de redes corporativas del mundo afectadas
Según el estudio de CheckPoint, Fireball ha infectado a más de 250 millones de ordenadores en todo el mundo: 25,3 millones en India (10,1%), 24,1 millones en Brasil (9,6%), 16,1 millones en México (6,4%), 13,1 millones en Indonesia (5,2%) y 5,5 millones en Estados Unidos (2,2%).
Basándose en los sensores globales de Check Point, el porcentaje de empresas víctimas es aún más alarmante: el malware afecta al 20% de todas las redes corporativas. Los países más afectados son Indonesia (60%), India (43%) y Brasil (38%). Con respecto a España, Fireball se encuentra en más de 800.000 compañías, el 25,9% del tejido empresarial español.
Otro indicador de la tasa de infección increíblemente alta es la popularidad de los motores de búsqueda falsos de Rafotech. De acuerdo con los datos de tráfico web de Alexa, 14 de estos motores de búsqueda falsos se encuentran entre las 10.000 páginas más populares.
Check Point afirma que Fireball es probablemente la campaña de infección de secuestro de navegadores más importante de la historia. Su alcance total es todavía desconocido, pero, con al menos una de cada cinco empresas afectadas, es sin duda una gran amenaza para el ecosistema global de ciberseguridad.