C’est une pandémie : un nouveau malware est en train de se répandre partout sur la Toile. On dénombre déjà plus de 250 millions de postes de travail contaminés par ce logiciel malveillant d’origine chinoise. Baptisé Fireball par les chercheurs de Check Point, ce malware aurait déjà rongé 20 % des réseaux d’entreprise de ce même éditeur. « Le logiciel malveillant agit comme un navigateur pirate mais peut être transformé en un programme de téléchargement de malwares. Fireball est capable d’exécuter n’importe quel code sur les machines victimes, ce qui entraîne une large gamme d’actions, allant du vol d’informations d’identification à l’ajout de logiciels malveillants supplémentaires », remarquent dans un blog l’équipe de chercheurs de l’équipe Threat Intelligence de Check Point.
Des moteurs de recherche zombies
La particularité de ce malware, c’est sa capacité à prendre le contrôle des moteurs de recherche d’un ordinateur, afin de les transformer en zombies. « Fireball manipule les navigateurs des victimes et modifie les moteurs de recherche par défaut et les pages d’accueil. Ces faux moteurs incluent un traqueur de pixels utilisé pour collecter les informations privées », indique l’éditeur. A partir de là, le pirate est en mesure d’introduire ses codes sur l’ordinateur de la victime et télécharger tous les documents indésirables ou les malwares qu’il souhaite. Ce malware est également capable de manipuler le trafic web pour générer des revenus via de la publicité frauduleuse. Selon l’éditeur, ce malware serait contrôlé par Rafotech, une agence de marketing digital basée à Pékin.
La progression du virus dans le monde
Parmi les pays qui ont subi les attaques les plus lourdes, se situe en première place l’Inde (10,1% du nombre total des attaques), suivie du Brésil (9,62%), du Mexique (6,4%) et de l’Indonésie (5,2%). On retrouve également les États-Unis (2,2%) qui a comptabilisé près de 5,5 millions d’infections. Pour expliquer cette contagion si rapide, l’éditeur estime que « d’après les données de trafic web d’Alexa, 14 de ces faux moteurs de recherche font partie du top 10.000 des sites web, certains entrant occasionnellement dans le top 1.000. »
Comment s’en prémunir ?
Quelques mesures s’imposent si l’on veut être sûr de ne pas avoir été infecté par ce malware. A commencer par s’assurer que la page d’accueil du navigateur n’a pas été modifiée et qu’il n’apparait aucune extension non installée par l’utilisateur. Mieux vaut aussi s’équiper d’un matériel de sécurité informatique capable de détecter les malwares et de les neutraliser. Enfin, l’éditeur nous livre également les URL compromettantes permettant de lancer des attaques de type control and command. Parmi les plus fréquentes : attirerpage.com, s2s.rafotech.com, trotux.com, startpageing123.com, funcionpage.com, universalsearches.com, thewebanswers.com, nicesearches.com ou encore youndoo.com, giqepofa.com, mustang-browser.com et search2000s.com.
Ségolène Kahn
Commentez