Developpez.com

Le Club des Développeurs et IT Pro

Cybersécurité : le malware Fireball vient de Chine

Et a déjà infecté un minimum de 250 millions d'ordinateurs, d'après Check Point

Le 2017-06-04 08:07:37, par Patrick Ruiz, Chroniqueur Actualités
La firme de sécurité Check Point prévient le public contre une nouvelle menace d’envergure mondiale. Elle a détecté 250 millions d’ordinateurs de par le monde infectés avec du code malicieux auquel elle a donné le nom Fireball. « Fireball prend le contrôle de votre navigateur et le transforme en zombie », peut-on lire sur le billet de blog de la firme dédié à cet effet.

Le processus d’infection est simple et résumé sur l’image ci-dessous. Au départ, il y a un appât, un logiciel de Rafotech, la société chinoise derrière le malware ou un freeware disponible en téléchargement. D’après ce que la firme explique, le malware, contenu dans le logiciel de Rafotech ou dans le freeware, est installé de façon silencieuse sur un système en même temps que le programme téléchargé. Une fois installé, le malware prend le contrôle du navigateur et détourne son trafic pour générer des revenus publicitaires au profit de la société Rafotech spécialisée dans le Web marketing.



Jusque là, Fireball a l’air d’être un banal adware, ce qui, en réalité n’est pas le cas. La firme Check Point rapporte en effet que Fireball dispose de fonctionnalités supplémentaires. En plus d’être un adware, il peut aussi exécuter du code à distance, ce qui ouvre d’immenses possibilités à la société Rafotech. La société pourrait exploiter ce moyen pour insérer des mouchards sur un système et ainsi récupérer des mots de passe de comptes de messagerie en ligne ou même des numéros de carte bancaire. Il suffit qu’elle décide de passer à l’action sur les machines déjà infectées.

D’après ce que rapporte la firme de sécurité Check Point, les réseaux d’entreprises également ne sont pas épargnés. 20 % des réseaux d’entreprises mondiaux ont une machine contenant le malware Fireball. C’est dire la profondeur avec laquelle le mal est déjà enraciné, ce qui laisse d’ailleurs la firme songeuse sur son mode de propagation qui, d’après elle, est basé sur d’autres vecteurs de propagation qui lui sont encore inconnus. Heureusement, dans le cas de ce malware, la désinfection est aisée d’après ce qui ressort des développements de la firme.

Elle recommande de se servir des moyens classiques de désinstallation des programmes que l’éditeur de leur système d’exploitation a mis à leur disposition et de supprimer tous les additifs suspects installés sur leurs navigateurs.

Source : Blog Check Point

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

Lookout met à nu le malware ViperRAT utilisé pour espionner les appareils Android des soldats israéliens, plus de 100 soldats en sont déjà infectés
Linux infecté par une variante de Turla, un malware sophistiqué utilisé depuis des années pour espionner 45 États
Le malware Hajime plus répandu que ne l'avait annoncé Symantec ? Déjà 300 000 objets connectés dans son botnet, d'après Kaspersky Lab
EternalRocks : le malware ciblant le service SMB s'appuie sur sept exploits de la NSA, tandis que WannaCry n'en utilise que deux
  Discussion forum
5 commentaires
  • Jipété
    Expert éminent sénior
    Envoyé par Patrick Ruiz
    La firme de sécurité Check Point prévient le public contre une nouvelle menace d’envergure mondiale. Elle a détecté 250 millions d’ordinateurs de par le monde infectés avec du code malicieux auquel elle a donné le nom Fireball.
    Ah la la, elles sont vraiment trop fortes, ces firmes !

    Et elle a fait comment, celle-ci, pour détecter 250 millions de machines infectées ? Un partenariat avec le malware grâce à un cgi qui tourne quelque part et incrémente un compteur ? Ou c'est les gens qui sont venus lui dire à elle "ouh ! je me suis fait infecter par Fireball, au secours !" ?

    Faut qu'on m'explique, là.
    le 04/06/2017 à 9:35
  • melka one
    Membre expérimenté
    toutes ces histoires d'intrusion sa devient de la paranoïa n'importe quelle programme a qui on autorise son instalation est suceptible de propager un virus ou autre autant ne plus rien installer même windows.

    ce qui me semble plus problématique c'est la profusion de mot de passe (impot, secu, developpez, banque...etc) qui sont souvent stocké sur l'ordi et on est de plus en plus forcé a faire comme ça, on nous force a faire de cette manière sans en mesurer les risques.
    le 04/06/2017 à 9:37
  • kopbuc
    Membre régulier
    Faut pas télécharger n'importe quoi et sinon les antivirus ils font quoi ?
    le 04/06/2017 à 9:40
  • disedorgue
    Expert éminent sénior
    Envoyé par kopbuc
    Faut pas télécharger n'importe quoi et sinon les antivirus ils font quoi ?
    Bah, rien (comme d'hab)
    le 04/06/2017 à 13:30
  • tontonCD
    Membre actif
    - "Et elle a fait comment, celle-ci, pour détecter 250 millions de machines infectées ?"
    Selon le blog en lien, il se pourrait qu'ils aient analysé le trafic (les messages pour Rafotech ont une signature) sinon il y a plus simple : Rafotech se vante d'avoir 300 millions d'"utilisateurs" !
    - "les antivirus ils font quoi ?"
    Les antivirus détectent, soit un comportement anormal d'une application, soit une signature de code : ceux qui fabriquent de nouveaux virus sont assez malins pour tester leur appli avant de la diffuser et la corriger si elles est détectable, ça n'empêche que les antivirus ont quand même la capacité d'en éviter la plupart, s'en passer est suicidaire. Bien sûr un minimum de bonnes pratiques (mots de passes compliqués, ne pas ouvrir de fichier d'origine inconnue, vérifier les url cités dans les mails avant de cliquer, ...), je devrais dire de méfiance, est indispensable.
    le 08/06/2017 à 14:59