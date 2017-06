Check Point hat in der Vergangenheit schon öfter Viren, Trojaner, Malware, Adware und andere Pest gefunden, die bisher von anderen Programmen nicht entdeckt wurde. Nun will man mit “Fireball” eine sogenannte Adware entdeckt haben, die sich unbemerkt auf über 250 Millionen PCs ausbreiten konnte. Das Programm spioniert Nutzer aus, kann weitere Malware nachladen den Computer übernehmen und Firmennetzwerke befallen.

Sogenannte Adware ist weit verbreitet, weil sie oft mit anderen – in der Regel kostenlosen – Programmen vom Nutzer installiert wird. In den meisten Fällen verheimlicht der jeweilige Anbieter, mit welchen umfassenden Rechten das vermeintlich hilfreiche Zusatzprogramm ausgestattet ist und kann in der Folge auf dem PC nach Belieben schalten und walten. So soll es sich auch bei Fireball verhalten: Die Software übernimmt den Browser des Nutzers, ändert die voreingestellte Standardsuchmaschine und leitet häufig aufgerufene Websites auf eigens erstellte Kopien um.

Sicherheitsexperten weisen immer wieder darauf hin, dass der Internetbrowser und insbesondere die Browser-Erweiterungen eine potentielle Sicherheitslücke sein können. So kann es vorkommen, dass eine populäre und zuvor harmlose Browser-Erweiterung von einem anderen Anbieter übernommen wird, der dem Nutzer mit dem nächsten Update einen Schad-Code unterjubelt. In der Regel können die meisten Nutzer nicht nachvollziehen, was im Hintergrund verändert wurde, viele Anbieter verbergen ihr Tun durch lediglich marginale Änderungen.

Zu den Gebieten, in denen Fireball am häufigsten verbreitet ist, zählen Indien und Brasilien – hier wurden jeweils 25,3 (10,1%) Millionen bzw. 24,1 (9,6%) Millionen Rechner mit der Adware infiziert. Auch in Mexiko, Indonesien und in den Vereinigten Staaten ist die Software verbreitet, hier betrifft es umgerechnet 16,1 Millionen (6,4%), 13,1 Millionen (5,2%) bzw. 5,5 Millionen (2,2%) aller untersuchten Systeme. Europa gehört zwar zu den weniger gefährdeten Gebieten, doch auch auf deutschen Systemen findet sich Fireball.

Die Sicherheitsexperten wählten nach eigenen Angaben eine interessante Methode, um die enorme Verbreitung von Fireball zu verifizieren. Sie glichen die von den Betreibern der Adware angelegten Internetseiten mit öffentlich zugänglichen Zugriffsstatistiken ab und fanden heraus, dass sich einige dieser Websites unter den 10.000 meistbesuchten Websites der Welt befinden. Eine der Fake-Sites soll sich sogar tapfer in den Top 1000 halten und dürfte somit eine vergleichsweise große Zahl von Besuchern anziehen. Die Betreiber prahlen ihren eigenen Kunden gegenüber mit den hohen Besucherzahlen und geben an, bis zu 300 Millionen Nutzer erreichen zu können.

Bisher scheinen sich die chinesischen Betreiber der Adware mit der Abgreifen von Werbegeldern zufriedenzugeben. Check Point weist aber explizit darauf hin, dass Fireball ein weitaus größeres Potential habe und jederzeit in einen voll funktionsfähigen Malware-Downloader umfunktioniert werden könne, der den Rechner des Nutzers mit allem erdenklichen Dreck infiziert. Fireball öffnet – vereinfacht zusammengefasst – eine Backdoor zum System und jedem Netzwerk, in dem sich diesem System befindet.

via checkpoint.com