image

Marketingbedrijf besmet 250 miljoen computers met adware

vrijdag 2 juni 2017, 11:36 door Redactie, 10 reacties

Een Chinees marketingbedrijf heeft wereldwijd meer dan 250 miljoen computers met adware besmet, waaronder 20 procent van alle bedrijfsnetwerken, zo claimt beveiligingsbedrijf Check Point. De adware wordt Fireball genoemd en gebruikt de browser van de besmette computer om aanvullende code te downloaden en het webverkeer van de gebruiker te manipuleren. Ook wordt de startpagina en standaard ingestelde zoekmachine aangepast.

Hierdoor wordt het verkeer naar de zogenaamde zoekmachine van het Chinese marketingbedrijf Rafotech geleid, die het weer doorstuurt naar Google of Yahoo. De zoekmachine maakt verder gebruik van trackingpixels om het gedrag van de gebruiker te verzamelen. Zo kunnen er gerichte advertenties worden weergegeven. Om de adware te verspreiden wordt het gebundeld met producten van Rafotech zelf of de software van derden. Vaak vindt de installatie zonder toestemming plaats.

Volgens Check Point is de omvang van het aantal besmette machines alarmerend. Het gaat namelijk om meer dan 250 miljoen computers. Dat komt overeen met cijfers van Rafotech zelf. Het bedrijf claimt 300 miljoen mensen te bereiken. De meeste infecties werden in India, Brazilië, Mexico en Indonesië waargenomen. Verder bevindt de adware zich ook in bedrijfsnetwerken. Volgens Check Point is de adware een serieus beveiligingsrisico, omdat het ook gebruikt kan worden om bijvoorbeeld malware op computers te installeren. Op deze manier kan de adware als een backdoor tot bedrijfsnetwerken fungeren.

Reacties (10)
02-06-2017, 12:16 door Anoniem
Het belangrijkste punt is - Hoe komen we er van af dan?
En waarom vinden virus scanners deze troep niet?
02-06-2017, 12:24 door Ron625
gebruikt de browser van de besmette computer
Iedere browser, of alleen een bepaalde browser?
Een beetje onduidelijk verhaal vind ik, zelfs het besturingssysteem wordt niet genoemd, of gaat dit op voor iedere PC, ongeacht het OS? (lijkt me sterk)
02-06-2017, 13:12 door Anoniem
Door Ron625:
gebruikt de browser van de besmette computer
Iedere browser, of alleen een bepaalde browser?
Een beetje onduidelijk verhaal vind ik, zelfs het besturingssysteem wordt niet genoemd, of gaat dit op voor iedere PC, ongeacht het OS? (lijkt me sterk)
Windows en Mac, diverse browsers. Als je in de pagina zoekt op 'wind' kom je vanzelf bij "HOW DO I REMOVE THE MALWARE, ONCE INFECTED?"
02-06-2017, 13:16 door Anoniem
Door Ron625:
gebruikt de browser van de besmette computer
Iedere browser, of alleen een bepaalde browser?
Een beetje onduidelijk verhaal vind ik, zelfs het besturingssysteem wordt niet genoemd, of gaat dit op voor iedere PC, ongeacht het OS? (lijkt me sterk)

FYI: Het artikel van Checkpoint heeft het alleen over Google Chrome, Mozilla Firefox, MS Internet Explorer en Apple Safari op MS Windows en Apple Mac.
02-06-2017, 13:29 door Anoniem
Vorige week iemand geholpen met Chrome die constant advertentie kreeg getoond. Malware bytes, HitmanPro en Alert vonden veel maar de advertenties bleven.

Pas nadat ik Chrome zich liet resetten was de AdWare weg.
02-06-2017, 13:45 door karma4
Door Ron625:
gebruikt de browser van de besmette computer
Iedere browser, of alleen een bepaalde browser?
Een beetje onduidelijk verhaal vind ik, zelfs het besturingssysteem wordt niet genoemd, of gaat dit op voor iedere PC, ongeacht het OS? (lijkt me sterk)
Uit het artikel van Central point:
To remove almost any adware, follow these simple steps:
Uninstall the adware by removing the application from the Programs and Features list in the Windows Control Panel.
For Mac OS users: 1/ Use the Finder to locate the Applications 2/ Drag the suspicious file to the Trash. 3/ Empty the Trash.
Browsers:
On Google Chrome: ... On Internet Explorer: ... On Mozilla Firefox: ... On Safari: .....

Lijkt inderdaad te gaan ongeacht het OS en ongeacht de browser.
In het verhaal is freeware als probleem genoemd (gratis voor niets)
Grootste probleemgebieden India Indonesië Mexico Brazilië
02-06-2017, 16:21 door PietdeVries
Als een beveiligingsbedrijf komt met claims dat 20% van alle bedrijfsnetwerken is besmet met deze malware, verslik ik mij meestal in de korrel zout...

Als browsers al het verkeer gericht aan Google (da's toch https? is dat zo eenvoudig om te leiden zonder dat de browser dat detecteert?) eerst naar China moet, dan zou elk zichzelf respecterende firewall beheerder dat toch moeten zien? Proxy logs lopen vol met verkeer dat naar China gaat - dat moet opvallen.

En de remedie: gewoon de-installeren. Is 't dan malware? Of gewoon een stukje software dat meedrijft op de eindeloze stroom met links waar we elke keer op klikken? Als 't via de reguliere paden gewoon weer te verwijderen is, dan me dunkt dat laatste...
02-06-2017, 16:42 door Anoniem
dit is een goeie voor de opera browser met VPN beveiliging
02-06-2017, 16:46 door SecGuru_OTX
Door PietdeVries: Als een beveiligingsbedrijf komt met claims dat 20% van alle bedrijfsnetwerken is besmet met deze malware, verslik ik mij meestal in de korrel zout...

Als browsers al het verkeer gericht aan Google (da's toch https? is dat zo eenvoudig om te leiden zonder dat de browser dat detecteert?) eerst naar China moet, dan zou elk zichzelf respecterende firewall beheerder dat toch moeten zien? Proxy logs lopen vol met verkeer dat naar China gaat - dat moet opvallen.

En de remedie: gewoon de-installeren. Is 't dan malware? Of gewoon een stukje software dat meedrijft op de eindeloze stroom met links waar we elke keer op klikken? Als 't via de reguliere paden gewoon weer te verwijderen is, dan me dunkt dat laatste...

1. Verkeer gaat niet alleen naar China

2. C&C's zijn dynamisch

3. Het betreft hier een browser-hijackers, je denkt dat je naar bv Google gaat maar komt ergens uit, dat is malware.
07-06-2017, 13:20 door Anoniem
Het is daarom beter om via een sandbox te browsen: o.a. https://www.sandboxie.com Zodat je systeem geïsoleerd blijft.En je geen infectie op je OS krijgt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.