7 Giu 2017

Fireball: adware con potenziali conseguenze mondiali

Malware Notizie

La pubblicità a volte può essere fastidiosa (e a volte anche pericolosa). Le aziende che guadagnano facendo pubblicità a volte esagerano nell’assicurarsi che vediate i loro annunci. Recentemente, i ricercatori hanno scoperto che una grande azienda (una grande agenzia di digital marketing) ha installato adware su 250 milioni di computer con Windows e il sistema operativo macOS in tutto il mondo.

Fireball: Adware with potential nuclear consequences

Quel che è peggio è che questo adware è in grado di trasformarsi in un malware a tutti gli effetti che può reindirizzare gli utenti a siti pericolosi e può rilasciare malware nei loro computer. E sembra che nessuno se ne sia accorto (fino a ora).

Il furtivo Fireball

Un adware è un tipo di applicazione che vi mostra pubblicità o che raccoglie dati su di voi con lo scopo di creare un vostro profilo e venderlo alle agenzie pubblicitarie, che a loro volta vi mostrano annunci. Il modo più comune in cui un adware si intrufola nei computer è quando è incorporato ad altri software. I creatori di adware sono disposti a pagare per queste incorporazioni, quindi alcuni sviluppatori di software gratuiti non vedono l’ora di integrarli con i loro prodotti per guadagnare.

Ad ogni modo, questa incorporazione può avvenire in maniera diversa, dipende dagli sviluppatori. Mentre vi viene inviata una notifica quando vengono installati software aggiuntivi insieme all’app che desiderate, Fireball, l’adware in questione, non avvisa gli utenti e non dà loro la possibilità di rinunciare all’installazione (si installa furtivamente). È importante notare che l’adware incorporato non si installa necessariamente nello stesso momento in cui si installa il programma freeware a cui siete interessati. L’adware potrebbe essere installato dopo, quando siete meno attenti ai possibili problemi di installazione.

Fireball è un browser hijacker; questo vuol dire che modifica il vostro browser per portare a termine gli obiettivi dei suoi creatori. La modifica consiste nel cambiare l’homepage e del motore di ricerca predefinito così come anche nel bloccare i vostri tentativi di ripristinarli. I falsi motori di ricerca Fireball impostati come motori di ricerca predefiniti contengono pixel di tracking che memorizzano dati degli utenti per utilizzarli a scopi commerciali. Inoltre, Fireball è in grado di eseguire qualsiasi codice sul computer infetto e di scaricare le estensioni del browser o altri software.

La cosa interessante è che nonostante la sua natura pericolosa, Fireball possiede certificati digitali legittimi che lo fanno sembrare innocuo. Utilizza anche altre tecniche di rilevamento – evasione per fare in modo che i sistemi di sicurezza non riescano a trovarlo e a contrassegnarlo come pericoloso. Ecco perché nessuno aveva notato l’epidemia che si stava diffondendo da ormai qualche tempo (Fireball sembrava essere un’app assolutamente legittima).

Perché Fireball è così pericoloso

Gli annunci aggiuntivi uniti al tracking aggiuntivo potrebbero sembrare fastidiosi ma non pericolosi. Ad ogni modo, la capacità di Fireball di scaricare e installare le estensioni del browser e di eseguire il codice in un dispositivo infetto lo rende una backdoor perfetta (che può essere utilizzata in tanti modi diversi: soprattutto per riempire il vostro computer di elementi sospetti in grado di raccogliere informazioni critiche o infettare il vostro dispositivo con diversi tipi di malware).

Secondo i ricercatori che hanno scoperto Fireball, quest’ultimo ha già infettato oltre 250 milioni di dispositivi nel mondo ed è possibile trovarlo in una rete aziendale su cinque. Se (o quando) i suoi creatori decideranno di utilizzarlo a scopi di spionaggio, Fireball potrebbe trasformarsi in una catastrofe globale.

Come posso sapere di non essere stato infettato?

Nonostante la sua discrezione, Fireball è abbastanza facile da individuare. Aprite il vostro browser e guardate l’homepage. Si tratta dell’homepage che avevate impostato? Che dire del motore di ricerca predefinito? Potete modificare le impostazioni per cambiare l’homepage e il motore di ricerca predefinito? Se avete risposto “no” a qualcuna o a tutte le domande, potreste essere stati infettati da un adware, che sia Fireball o qualcos’altro.

Se non c’è nulla che blocca i vostri tentativi di modificare le impostazioni e siete sicuri del fatto che la vostra homepage e il vostro motore di ricerca predefinito non presentino problemi, probabilmente non siete stati infettati da Fireball. Perché non avviare però una scansione antivirus? Prevenire è meglio che curare.

Shields vs. Fireballs

Come già saprete se giocate ai giochi di ruolo, la miglior protezione contro Fireball è uno scudo magico. In questo caso, una buona soluzione di sicurezza è il vostro scudo magico.


Ad esempio, per proteggere il vostro computer dagli adware, potete cambiare le impostazioni di Kaspersky Internet Security per impedire l’istallazione dei cosiddetti programmi potenzialmente indesiderati. Il software rileverà e bloccherà ogni tentativo di installare gli adware, tenendo alla larga Fireball e i suoi simili dal vostro computer. In questo link scoprirete come modificare queste impostazioni.