Investigadores de la firma de seguridad Check Point han descubierto una nueva campaña de malware con origen en China que ha logrado infectar más de 250 millones de ordenadores en todo el mundo utilizando una aplicación denominada Fireball que, en palabras de la compañía, "toma el control de los navegadores atacados y los convierte en zombis" mediante el uso de plugins y extensiones. El propósito de Fireball es bastante simple: generar beneficios a sus autores incrustando publicidad en las sesiones de navegación. Pero sus posibilidades van mucho más allá.




Sus creadores trabajarían para la agencia de marketing digital Rafotech, una firma china que estaría utilizando Fireball "para manipular los navegadores de las víctimas y convertir sus motores de búsqueda y páginas por defecto en motores de búsqueda falsos". Check Point señala que los tres países con un mayor número de instalaciones de Fireball son India, Brasil y México.

Las capacidades de Fireball son extensas. El malware puede monitorizar los píxeles donde se puede albergar información privada del usuario, espiar su navegación, ejecutar cualquier tipo de código malicioso en las máquinas ya infectadas e inyectar otro software malicioso.

Check Point no aclara las plataformas ni los navegadores afectados, pero proporciona la muy básica recomendación de observar las extensiones instaladas tanto en equipos Windows como macOS en busca de software desconocido, particularmente si el usuario tiene problemas a la hora de cambiar la página de inicio o el buscador por defecto.

Infecciones por zonas y países

Según los investigadores, más de 250 millones de ordenadores están infectadas en todo el mundo, el 20 por ciento de ellas son redes corporativas:

• 25,3 millones de infecciones en la India (10,1%)
• 24,1 millones en Brasil (9,6%)
• 16,1 millones en México (6,4%)
• 13,1 millones en Indonesia (5,2%)
• 5,5 millones En EE.UU. (2,2%)

Adware malicioso, el peligro que nunca desaparece

Curiosamente, Fireball no es un virus sofisticado. Tampoco se puede extender rápidamente a través de una red, a pesar de que según Check Point el 20% de sus víctimas están conectadas a redes de empresas. El mecanismo de infección es tan sumamente simple que más de un administrador o técnico querrá llevarse las manos a la cabeza, y es que Fireball entra en los ordenadores infectados gracias al adware. Rafotech desliza su malware en los instaladores de programas gratuitos propios como Deal Wifi y Mustang Browser, pero también ha sido detectado en otros programas freeware que pueden requerir software adicional durante su instalación o más tarde.

Check Point cree que Rafotech también podría estar utilizando otros métodos de distribución para llegar a un mayor número de personas, como programas con nombres falsos, campañas de spam e incluso instalaciones maliciosas encargadas a la clase de agentes que especializan en este tipo de servicios.

En su modalidad de difusión convencional, Fireball camina sobre la delgada línea que separa el adware legal del malware puro y duro: se ofrece como parte de un instalador legítimo, pero los "servicios" añadidos como los falsos motores de búsqueda no expresan su relación con Rafotech, no pueden ser desinstalados fácilmente por el usuario y la instalación de Fireball se realiza utilizando certificados digitales para darle apariencia de legitimidad.

Si bien hay numerosos ejemplos de adware potencialmente malicioso, el peligro de Fireball reside en sus posibilidades para espiar al usuario e inyectar malware sin que se percate. En este sentido, Check Point alerta de la posibilidad de que Rafotech, que presume de llegar a más de 300 millones de personas en todo el mundo, pudiera acumular información de forma masiva para venderla a otras compañías o a grupos cibercriminales interesados en lanzar ataque

Vulnerabilidad en el uso de subtítulos permite atacar a usuarios de Kodi, VLC Media Player y otros reproductores

La misma firma de seguridad CheckPoint ha descubierto un novedoso vector de ataque que permitiría infectar con malware a millones de usuarios de algunos de los reproductores multimedia más populares aprovechando una serie de vulnerabilidades en los subtítulos hasta ahora inéditas. De forma más concreta, los usuarios de plataformas como VLC, Kodi, Popcorn Time y Stremio están expuestos a que terceras personas tomen el control de sus ordenadores y dispositivos de reproducción utilizando archivos de subtítulos maliciosos.

• PopcornTime– Created a Fixed version, however it is not yet available to download in the official website.
  The fixed version can be manually downloaded via the following link: https://ci.popcorntime.sh/job/Popcorn-Time-Desktop/249
• Kodi– Officialy fixed and available to download on their website. Link: https://kodi.tv/download
• VLC– Officially fixed and available to download on their website
  Link: http://get.videolan.org/vlc/2.2.5.1/win32/vlc-2.2.5.1-win32.exe
• Stremio– Officially Fixed and avilable to download on their website
  Link: https://www.strem.io/

• http://blog.checkpoint.com/2017/05/23/hacked-in-translation/

Fuente:
https://www.elotrolado.net/noticia_el-malware-chino-fireball-infecta-mas-de-250-millones-de-ordenadores-en-todo-el-mundo_32240