Check Point研究人員最近發(fā)現(xiàn)了一款傳播范圍極廣的惡意軟件，感染的計(jì)算機(jī)數(shù)量高達(dá)2.5億，包括Windows和macOS。這款惡意軟件被命名為Fireball，它能夠完全控制受害者的web瀏覽器，把他們變成“僵尸”，并讓攻擊者對(duì)受害者的流量進(jìn)行監(jiān)控，竊取數(shù)據(jù)。
研究人員發(fā)現(xiàn)它背后的公司叫卿燁科技(Rafotech)。這是一家提供電子營銷和手機(jī)游戲的中國公司，客戶多達(dá)3億。這家公司目前用Fireball在用戶瀏覽器中注入廣告獲利，但實(shí)際上Fireball的危害不僅限于此，它完全有能力被利用進(jìn)行大規(guī)模的破壞。
Fireball從何而來

感染流程
Fireball的傳播使用了一種中國網(wǎng)民喜聞樂見的方式——捆綁。用戶從網(wǎng)上下載安裝免費(fèi)軟件后，捆綁的惡意軟件就會(huì)安裝瀏覽器插件控制受害者的瀏覽器配置，替換瀏覽器默認(rèn)搜索引擎和主頁，將之替換成一個(gè)假的搜索引擎：trotux.com。

捆綁的軟件中有一些是卿燁科技的其他產(chǎn)品，比如Deal Wifi 和野馬瀏覽器或者“Soso Desktop”、“FVP圖片查看器”。

“值得注意的是當(dāng)用戶安裝免費(fèi)軟件的時(shí)候，捆綁軟件不一定會(huì)同時(shí)安裝。”研究人員稱，“另外，很有可能卿燁科技使用了其他的傳播手段，比如以假冒的名稱來傳播免費(fèi)軟件、使用垃圾郵件甚至是從黑客那里購買安裝量。”
替換的假冒搜索引擎只是將用戶的搜索請(qǐng)求重定向到雅虎或者google，但植入了追蹤的像素，用來收集受害者的信息。
Fireball能夠做的事情遠(yuǎn)遠(yuǎn)超出正常范圍，它能夠監(jiān)控受害者的web流量，在目標(biāo)系統(tǒng)執(zhí)行惡意代碼、安裝插件，甚至直接安裝惡意軟件，這樣就能夠在目標(biāo)系統(tǒng)和網(wǎng)絡(luò)中留下了巨大的后門。
“從技術(shù)的角度來看，F(xiàn)ireball非常復(fù)雜精細(xì)，有一些繞過殺毒軟件和防檢測的手段，它使用了多層架構(gòu)和C&C服務(wù)器，這不輸任何真正的惡意軟件。”研究人員稱。
影響范圍
 “根據(jù)我們估計(jì)的感染率，1/5的企業(yè)會(huì)受到大型數(shù)據(jù)泄露攻擊。”
研究人員稱，全球范圍內(nèi)有2.5億臺(tái)計(jì)算機(jī)受到影響，其中20%處在企業(yè)網(wǎng)絡(luò)中。受感染的機(jī)器遍布各個(gè)國家：
印度：2530萬 (10.1%)
巴西：2410萬 (9.6%)
墨西哥：1610萬 (6.4%)
印尼：1310萬 (5.2%)
美國：550萬 (2.2%)

全球感染率，顏色越深代表感染率越高
很顯然，卿燁科技不會(huì)承認(rèn)使用了瀏覽器劫持和假冒的搜索引擎，在其官網(wǎng)，卿燁科技稱它是一家成功的數(shù)字媒體公司，在全球擁有3億用戶，諷刺的是這與Check Point所預(yù)估的2.5億感染量不謀而合。

公司背景
基于Check Point的報(bào)告，小編也對(duì)這家名為“卿燁科技”的公司進(jìn)行了微小的調(diào)查。

工商資料顯示，卿燁科技成立于2015年2月，是“數(shù)字營銷行業(yè)的領(lǐng)先跨國公司”。
根據(jù)卿燁科技官網(wǎng)的資料，公司的業(yè)務(wù)主要針對(duì)兩類客戶：出版商和廣告商。對(duì)出版商提供廣告，使媒體“在不新增廣告位的前提下大幅增加收益”；針對(duì)廣告商則是“以云平臺(tái)和大數(shù)據(jù)技術(shù)做支撐，通過強(qiáng)大的數(shù)據(jù)挖掘技術(shù)快速識(shí)別用戶，進(jìn)行精準(zhǔn)廣告投放，支持多種形式的精準(zhǔn)廣告定向方式”。
另一塊比較重要的板塊是游戲，根據(jù)卿燁科技官網(wǎng)的介紹，公司旗下?lián)碛兴目钣螒�，并且在海外的�?yīng)用市場頗受歡迎。

卿燁科技注重游戲的海外分發(fā)，往往與當(dāng)?shù)氐墓�司尋求合作。去�?0月，卿燁科技還與Taptica合作，后者幫助在英國推廣Piggy Boom游戲。

檢測防御
你可以嘗試回答以下的這些問題，如果結(jié)果都是“不”，那很有可能中招了（即便不是Fireball，也應(yīng)該是其他流氓軟件）
打開瀏覽器檢查
你有沒有改過主頁？
你能否更改主頁？
你對(duì)默認(rèn)的搜索引擎熟悉嗎？可以更改嗎？
瀏覽器插件你都認(rèn)識(shí)嗎？
要?jiǎng)h除這款惡意軟件，你只需要卸載相應(yīng)程序，然后重置瀏覽器到初始狀態(tài)。
要進(jìn)行防范也很簡單——安裝軟件時(shí)要格外小心，不要裝上捆綁軟件。
IoC
C&C地址
attirerpage[.]com
s2s[.]rafotech[.]com