Fireball: рекламное приложение с функцией ядерной бомбы

Реклама может не только раздражать, но и причинять вред. Компании, зарабатывающие на продаже рекламы, в стараниях подсунуть ее вам периодически заходят слишком далеко. Недавно обнаружилось, что одна такая компания — крупное агентство по цифровому маркетингу — установила рекламную программу на 250 миллионов компьютеров под управлением Windows и macOS по всему миру.

Хуже того, эта программа способна из вроде бы безобидной рекламной утилиты превращаться в полноценного зловреда, который может перенаправлять пользователей на вредоносные сайты и устанавливать других зловредов на их компьютеры. И никто этого даже не замечал — до сих пор.

Незримый Fireball

Рекламная программа (adware) — это такие приложения, которые либо показывают вам рекламу, либо собирают о вас данные, чтобы создать ваш профиль и продать его рекламным агентствам, которые, в свою очередь, будут делать что? Показывать вам рекламу! Чаще всего рекламные приложения проникают на компьютеры как довесок к какой-то другой программе. Создатели рекламной программы готовы заплатить за то, чтобы их творение распространяли вместе с чем-то полезным, и некоторые разработчики бесплатного ПО на это соглашаются, поставляя рекламную программу в комплекте со своими собственными продуктами – надо же их как-то монетизировать.

Однако то, как это делается, может выглядеть очень по-разному. В то время как обычно вас оповещают о дополнительном ПО, которое устанавливается вместе со скачиваемым приложением, рекламная программа Fireball, которой, собственно, и посвящен сегодняшний пост, не запрашивает разрешения пользователя на установку и не дает возможности ее отменить — она просто скрытно устанавливается. Кстати, вот еще что: рекламная программа, входящая в один комплект с другими продуктами, не обязательно устанавливается в то же самое время, что и эти самые продукты. Она может установиться и позже — когда вы потеряете бдительность и не будете думать о том, что от поставленной программы можно ожидать каких-то неприятностей.

Сказ о том, как наш коллега чистил систему от тонны рекламного мусора и не сошел с ума: http://t.co/9KnOHw64zd pic.twitter.com/Sp40WWN7G8

— Kaspersky (@Kaspersky_ru) January 26, 2015

После установки Fireball взламывает браузер – по сути, модифицирует его так, что он начинает работать на создателя Fireball. Например, он меняет домашнюю страницу и поисковую службу по умолчанию, а также не позволяет вернуть их обратно, как было. Поддельные поисковые службы, которые Fireball устанавливает по умолчанию, содержат отслеживающие пиксели, которые собирают данные о пользователях для маркетинговых целей. Также Fireball может исполнять любой код на зараженном компьютере и скачивать расширения для браузера и даже другие программы.

Интересно, что несмотря на свой вредоносный характер, Fireball подписана легитимным цифровым сертификатом, и это сбивает многие защитные решения с толку – им кажется, что эта программа совершенно безвредна. Она также использует и другие методы обхода систем обнаружения, в результате чего защитным решениям становится сложнее обнаружить Fireball и отметить его как вредоносную программу. Именно поэтому никто и не замечал распространение этой эпидемии в течение некоторого времени — ведь Fireball казался легитимным приложением.

Чем опасен Fireball?

Дополнительная реклама вместе со слежкой могут казаться назойливыми, но не опасными. А вот то, что Fireball может скачивать и устанавливать расширения для браузера и выполнять любой код на зараженном устройстве, превращают это рекламное приложение в отличный бэкдор. Использовать его можно самыми разными способами — в основном для установки нехороших программ на ваш компьютер и перехвата важной информации или для заражения вашего устройства различными видами зловредов.

По данным исследователей, которые обнаружили Fireball, эта рекламная программа уже заразила более 250 миллионов устройств по всему миру и встречается в каждой пятой корпоративной сети. Fireball может стать всемирной катастрофой, если (или, скорее, как только) его создатели решат использовать свое творение для шпионажа.

Fireball malware infects 250 million computers worldwide — https://t.co/41FE02cqlO

— Threatpost (@threatpost) June 2, 2017

Как убедиться, что мой компьютер не заражен?

Несмотря на то, что Fireball отлично прячется от некоторых защитных решений, эту программу достаточно легко заметить. Откройте ваш браузер и посмотрите на домашнюю страницу — вы ли ее устанавливали? А как насчет поисковой службы по умолчанию? Можете ли вы изменить настройки, чтобы установить другую домашнюю страницу и поисковую службу по умолчанию? Если вы ответили «нет» хотя бы на один из этих вопросов, то, вероятно, ваш компьютер заражен рекламной программой – может, это Fireball, а может, что-то еще.

Если настройки меняются без проблем, и вы уверены, что вашу домашнюю страницу и поисковую службу по умолчанию никто не трогал, то, скорее всего, Fireball на вашем компьютере нет. Однако почему бы почему бы не подстраховаться и не запустить проверку на вирусы – это всегда лучше делать раньше, а не позже.

Щиты против огненных шаров

Если вы играете в игры жанра RPG, то наверняка знаете, что лучшая защита от файерболов (англ. fireball — огненный шар) — это хороший магический щит. Ну а в данном случае лучшим магическим щитом будет надежный антивирус.

Например, чтобы защитить ваш компьютер от любых рекламных программ, вы можете изменить настройки в Kaspersky Internet Security и запретить устанавливать так называемые потенциально нежелательные программы. После этого защитное решение будет обнаруживать и блокировать любые попытки установить рекламную программу, защищая ваш компьютер от Fireball и ему подобных. О том, как выставить такие настройки, читайте здесь.