Investigadores de la firma de seguridad Check Point han descubierto una nueva campaña de malware con origen en China que ha logrado infectar más de 250 millones de ordenadores en todo el mundo utilizando una aplicación denominada Fireball que, en palabras de la compañía, "toma el control de los navegadores atacados y los convierte en zombis" mediante el uso de plugins y extensiones. El propósito de Fireball es bastante simple: generar beneficios a sus autores incrustando publicidad en las sesiones de navegación. Pero sus posibilidades van mucho más allá.
Según las pesquisas de Check Point, el origen de Fireball no es un oscuro foro de crackers o una comunidad cerrada donde se trafica con ciberarmas. Sus creadores trabajarían para la agencia de marketing digital Rafotech, una firma china que estaría utilizando Fireball "para manipular los navegadores de las víctimas y convertir sus motores de búsqueda y páginas por defecto en motores de búsqueda falsos". Check Point señala que los tres países con un mayor número de instalaciones de Fireball son India, Brasil y México.
Las capacidades de Fireball son extensas. El malware puede monitorizar los píxeles donde se puede albergar información privada del usuario, espiar su navegación, ejecutar cualquier tipo de código malicioso en las máquinas ya infectadas e inyectar otro software malicioso.
Check Point no aclara las plataformas ni los navegadores afectados, pero proporciona la muy básica recomendación de observar las extensiones instaladas tanto en equipos Windows como macOS en busca de software desconocido, particularmente si el usuario tiene problemas a la hora de cambiar la página de inicio o el buscador por defecto.
Adware malicioso, el peligro que nunca desaparece
Curiosamente, Fireball no es un virus sofisticado. Tampoco se puede extender rápidamente a través de una red, a pesar de que según Check Point el 20% de sus víctimas están conectadas a redes de empresas. El mecanismo de infección es tan sumamente simple que más de un administrador o técnico querrá llevarse las manos a la cabeza, y es que Fireball entra en los ordenadores infectados gracias al adware. Rafotech desliza su malware en los instaladores de programas gratuitos propios como Deal Wifi y Mustang Browser, pero también ha sido detectado en otros programas freeware que pueden requerir software adicional durante su instalación o más tarde.
Check Point cree que Rafotech también podría estar utilizando otros métodos de distribución para llegar a un mayor número de personas, como programas con nombres falsos, campañas de spam e incluso instalaciones maliciosas encargadas a la clase de agentes que especializan en este tipo de servicios.
En su modalidad de difusión convencional, Fireball camina sobre la delgada línea que separa el adware legal del malware puro y duro: se ofrece como parte de un instalador legítimo, pero los "servicios" añadidos como los falsos motores de búsqueda no expresan su relación con Rafotech, no pueden ser desinstalados fácilmente por el usuario y la instalación de Fireball se realiza utilizando certificados digitales para darle apariencia de legitimidad.
Si bien hay numerosos ejemplos de adware potencialmente malicioso, el peligro de Fireball reside en sus posibilidades para espiar al usuario e inyectar malware sin que se percate. En este sentido, Check Point alerta de la posibilidad de que Rafotech, que presume de llegar a más de 300 millones de personas en todo el mundo, pudiera acumular información de forma masiva para venderla a otras compañías o a grupos cibercriminales interesados en lanzar ataque potencialmente tan dañinos como el recientemente causado por la difusión de Wannacry.
