Check Point研究人員最近發現了一款傳播范圍極廣的惡意軟件，感染的計算機數量高達2.5億，包括Windows和macOS。這款惡意軟件被命名為Fireball，它能夠完全控制受害者的web瀏覽器，把他們變成“僵尸”，并讓攻擊者對受害者的流量進行監控，竊取數據。
研究人員發現它背后的公司叫卿燁科技(Rafotech)。這是一家提供電子營銷和手機游戲的中國公司，客戶多達3億。這家公司目前用Fireball在用戶瀏覽器中注入廣告獲利，但實際上Fireball的危害不僅限于此，它完全有能力被利用進行大規模的破壞。
Fireball從何而來

感染流程
Fireball的傳播使用了一種中國網民喜聞樂見的方式——捆綁。用戶從網上下載安裝免費軟件后，捆綁的惡意軟件就會安裝瀏覽器插件控制受害者的瀏覽器配置，替換瀏覽器默認搜索引擎和主頁，將之替換成一個假的搜索引擎：trotux.com。

捆綁的軟件中有一些是卿燁科技的其他產品，比如Deal Wifi 和野馬瀏覽器或者“Soso Desktop”、“FVP圖片查看器”。

“值得注意的是當用戶安裝免費軟件的時候，捆綁軟件不一定會同時安裝。”研究人員稱，“另外，很有可能卿燁科技使用了其他的傳播手段，比如以假冒的名稱來傳播免費軟件、使用垃圾郵件甚至是從黑客那里購買安裝量。”
替換的假冒搜索引擎只是將用戶的搜索請求重定向到雅虎或者google，但植入了追蹤的像素，用來收集受害者的信息。
Fireball能夠做的事情遠遠超出正常范圍，它能夠監控受害者的web流量，在目標系統執行惡意代碼、安裝插件，甚至直接安裝惡意軟件，這樣就能夠在目標系統和網絡中留下了巨大的后門。
“從技術的角度來看，Fireball非常復雜精細，有一些繞過殺毒軟件和防檢測的手段，它使用了多層架構和C&C服務器，這不輸任何真正的惡意軟件。”研究人員稱。
影響范圍
 “根據我們估計的感染率，1/5的企業會受到大型數據泄露攻擊。”
研究人員稱，全球范圍內有2.5億臺計算機受到影響，其中20%處在企業網絡中。受感染的機器遍布各個國家：
印度：2530萬 (10.1%)
巴西：2410萬 (9.6%)
墨西哥：1610萬 (6.4%)
印尼：1310萬 (5.2%)
美國：550萬 (2.2%)

全球感染率，顏色越深代表感染率越高
很顯然，卿燁科技不會承認使用了瀏覽器劫持和假冒的搜索引擎，在其官網，卿燁科技稱它是一家成功的數字媒體公司，在全球擁有3億用戶，諷刺的是這與Check Point所預估的2.5億感染量不謀而合。

公司背景
基于Check Point的報告，小編也對這家名為“卿燁科技”的公司進行了微小的調查。

工商資料顯示，卿燁科技成立于2015年2月，是“數字營銷行業的領先跨國公司”。
根據卿燁科技官網的資料，公司的業務主要針對兩類客戶：出版商和廣告商。對出版商提供廣告，使媒體“在不新增廣告位的前提下大幅增加收益”；針對廣告商則是“以云平臺和大數據技術做支撐，通過強大的數據挖掘技術快速識別用戶，進行精準廣告投放，支持多種形式的精準廣告定向方式”。
另一塊比較重要的板塊是游戲，根據卿燁科技官網的介紹，公司旗下擁有四款游戲，并且在海外的應用市場頗受歡迎。

卿燁科技注重游戲的海外分發，往往與當地的公司尋求合作。去年10月，卿燁科技還與Taptica合作，后者幫助在英國推廣Piggy Boom游戲。

檢測防御
你可以嘗試回答以下的這些問題，如果結果都是“不”，那很有可能中招了（即便不是Fireball，也應該是其他流氓軟件）
打開瀏覽器檢查
你有沒有改過主頁？
你能否更改主頁？
你對默認的搜索引擎熟悉嗎？可以更改嗎？
瀏覽器插件你都認識嗎？
要刪除這款惡意軟件，你只需要卸載相應程序，然后重置瀏覽器到初始狀態。
要進行防范也很簡單——安裝軟件時要格外小心，不要裝上捆綁軟件。
IoC
C&C地址
attirerpage[.]com
s2s[.]rafotech[.]com