Um novo tipo de vírus descoberto pela CheckPoint pode se tornar a fonte de várias dores de cabeça. O malware se chama Fireball e funciona sequestrando navegadores no Windows e macOS, transformando-os em zumbis que obedecem às ordens dos criminosos para gerar renda por meio de anúncios em sites de pesquisa falsos. Até o momento, mais de 250 milhões de PCs foram afetados e o Brasil é o segundo país do mundo com maior número de infecções.
Malware é instalado por meio de softwares legítimos (Foto: Reprodução/CheckPoint)
Segundo a CheckPoint, o Fireball é controlado por uma empresa chinesa chamada Rafotech, que o espalha através de alguns de seus softwares que seriam, a princípio, legítimos. Eles se aproveitam de uma brecha na lei que permite a criação de adwares — aplicativos que exibem propagandas — para instalar o programa.
Quando isto acontece, o software modifica o comportamento do navegador sem autorização do usuário — o que pode ser caracterizado como um vírus —, incluindo mudanças na página inicial e na página de busca padrão que não podem ser revertidas. Ao enviar tráfego para estas páginas que não seria conseguido de outra forma, o Fireball aumenta a visualização de anúncios, o que gera dinheiro.
Um dos sites de busca falso usado pelo malware é o trotux.com, mas a lista completa também contém os endereços abaixo. Veja se algum é familiar.
attirerpage[.]com
s2s[.]rafotech[.]com
trotux[.]com
startpageing123[.]com
funcionapage[.]com
universalsearches[.]com
thewebanswers[.]com
nicesearches[.]com
youndoo[.]com
giqepofa[.]com
mustang-browser[.]com
... >
forestbrowser[.]com
luckysearch123[.]com
ooxxsearch[.]com
search2000s[.]com
walasearch[.]com
hohosearch[.]com
yessearches[.]com
d3l4qa0kmel7is[.]cloudfront[.]net
d5ou3dytze6uf[.]cloudfront[.]net
d1vh0xkmncek4z[.]cloudfront[.]net
d26r15y2ken1t9[.]cloudfront[.]net
d11eq81k50lwgi[.]cloudfront[.]net
ddyv8sl7ewq1w[.]cloudfront[.]net
d3i1asoswufp5k[.]cloudfront[.]net
dc44qjwal3p07[.]cloudfront[.]net
dv2m1uumnsgtu[.]cloudfront[.]net
d1mxvenloqrqmu[.]cloudfront[.]net
dfrs12kz9qye2[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe
Fireball redireciona usuários para sites de busca falsos (Foto: Reprodução/CheckPoint)
Apesar de estar programado apenas para alterar o comportamento do navegador, o Fireball possui acesso a grande quantidade de dados no computador infectado e pode ser usado para roubá-los a qualquer momento, como nomes de usuários, senhas e dados bancários. A recomendação para os usuários é restaurar as configurações de fábrica de navegador, deletar plugins desconhecidos e remover apps estranhos dos computadores. Antivírus costumam alertar esses acessos.
Os dados levantados pela CheckPoint apontam que o malware afetou mais de 250 milhões de computadores em todo o mundo. O Brasil possui 24,1 milhões (o equivalente a 9,6%) dos dispositivos infectados, perdendo apenas para a Índia, que soma 25,3 milhões (10,1%) entre as vítimas das contaminações pelo Fireball.
Fireball: zonas mais escuras foram as mais atacadas pelo vírus (Foto: Reprodução / CheckPoint)
A informação mais alarmante, de acordo com a desenvolvedora, é a que cerca de 20% dos dispositivos ligados a redes corporativas estão comprometidos em todo o mundo. Destes computadores, novamente o Brasil aparece como um dos mais atingidos: em torno de 36% destas redes do país foram infectadas pelo malware.
