„ | Так и программы от маил ру таким же образом лезут в каждый компьютер. | “ |
В начале июня специалисты Threat Intelligence компании Check Point обнаружили необычный мощный вирус, обитающий уже на 250 миллионах устройств. Зараженные компьютеры походят на зомби: выполняют указания китайского хозяина и невольно зарабатывают для него деньги. «Лента.ру» разобралась, кто стоит за распространением вируса и чем это опасно.
Во всем виноваты русские китайцыИсследователям удалось выяснить, что вирус распространяют не хакеры, а крупная рекламная компания Rafotech, головной офис которой находится в Пекине. Рекламщики уже заразили 250 миллионов компьютеров по всему миру, а теперь зарабатывают репутацию — хвастаются многомиллионными установками своих приложений.
Вирус, который специалисты назвали Fireball («огненный шар»), работает по двум направлениям: злоумышленники (точнее, рекламщики) могут запускать на зараженных устройствах любой вредоносный код и загружать какие угодно файлы, а также манипулировать действиями пользователей в браузере.
При необходимости мошенники устанавливают расширения и меняют настройки, чтобы улучшить собственные показатели по рекламным кампаниям. Но куда опаснее то, что они могут не только зарабатывать на ни о чем не подозревающих владельцах устройств, но и с легкостью установить им любое вредоносное ПО, которое впоследствии может украсть и данные банковской карты, и пароль рабочей почты.
Правда, пока китайцы используют свой «вредонос» в основном для того, чтобы устанавливать в браузерах жертв поддельную поисковую систему и генерировать фейковые поисковые запросы. Пользователь даже не догадывается о том, что, используя Google или Yahoo, находится на подставном сайте и отдает всю важную информацию мошенникам.
Самое удивительное, что несмотря на возможность украсть любые данные, применяемая китайскими рекламщиками технология с небольшой натяжкой, но все же считается легальной. Проблема в том, что Fireball устанавливается вместе с вполне легитимными программами.
Особенно этим грешат бесплатные сервисы: люди вроде бы пользуются ими бесплатно, а те, в свою очередь, зарабатывают на продаже данных своих клиентов. Это может быть как безликая статистика, так и вполне конкретная личная информация, в том числе номер и CVV-код пластиковой карты.
Для этого клиенту достаточно согласиться на установку «дополнительного ПО», чтобы полулегальные программы, фактически обладающие всеми возможностями вируса, проникли в компьютер. Эксперты сокрушаются: китайцы успешно используют эти «серые зоны» в законодательстве большинства стран. Ведь если юзер дает свое разрешение на установку дополнительного софта, дальнейшие действия сложно признать незаконными.
Как это работаетИз отчета следует, что сомнительные продукты компании Rafotech проникают в устройства при установке следующих программ: Deal Wi-Fi (бесплатная программа для создания точки доступа), браузер Mustang, инструменты Soso Desktop и FVP Imageviewer.
Эти продукты устанавливаются на компьютер либо вместе с другим софтом, либо самостоятельно, благо их активно рекламируют в интернете. Внимательные пользователи легко узнают об их дурной репутации: любой поисковик выдает больше ссылок на способы удаления вредоносных программ, чем на их загрузку.
Помимо «установки за компанию» Rafotech не брезгует и такими методами, как маскировка под популярные приложения или даже плата пользователям за загрузку.
После установки, которая чаще всего происходит на фоне и невидима для пользователей, «вредонос» получает доступ к браузеру. Он может полностью управлять действиями юзеров, перенаправляя их на мошеннические сайты, следя за передвижениями курсора и при необходимости внедряя новые инструменты для слежки и заражения.
Чаще всего пользователи не могут самостоятельно удалить вредоносные программы, зато это с успехом делают китайские рекламщики. Они могут контролировать, что именно работает на зомби-компьютере, и даже полностью ликвидировать следы вторжения, попутно оставив бэкдор на случай повторной установки.
Угроза мирового масштабаПо оценкам Check Point, заражению подверглись компьютеры во многих странах мира. Наиболее уязвимыми оказались пользователи из Индии (25,3 миллиона инфицированных компьютеров), Бразилии (24,1 миллиона) и Мексики (16,1 миллиона). В США «вредонос» установлен на 5,5 миллиона устройств. Судя по составленной специалистами карте заражения, компьютеры многих пользователей из России тоже эксплуатируются китайцами.
Но эксперты бьют тревогу не только из-за того, что личные компьютеры миллионов людей по всему миру могут в один момент оказаться под управлением группы китайских рекламщиков. Под угрозой оказались и устройства корпоративных сетей крупных компаний: 20 процентов организаций по всему миру уже «подхватили» Fireball. А это значит, что под угрозой не только личные, но и корпоративные секреты, которые могут выкрасть и перепродать кому угодно и когда угодно.
В серьезной опасности находятся компании из США (10 процентов заражений) и Китая (почти пять процентов), но больше всего «вредонос» угрожает бизнесу в Индонезии (60 процентов заражений) Индии (43 процента) и Бразилии (38 процентов).
Фейковые поисковые системы, которые создатели Fireball зарегистрировали для перегона трафика на нужные сайты, пугающе популярны. Согласно одному из самых авторитетных рейтингов Alexa, 14 инструментов китайской Rafotech входят в первые 10 тысяч самых популярных сайтов на планете, а некоторые из них даже попадают в первую тысячу.
Само рекламное агентство не спешит рассказывать клиентам о «нестандартных» способах продвижения продуктов, зато гордо обещает клиентам более шести миллиардов просмотров и заявляет, что в его распоряжении 300 миллионов пользователей — то есть чуть больше, чем число инфицированных ими устройств.
Рекламщики такие рекламщикиПронырливое китайское агентство, использующее наивных пользователей, — к сожалению, далеко не единственный игрок в этом сегменте рынка. Не так давно специалисты в области безопасности обнаружили целую империю «королей мусорного трафика». Они орудовали на популярных сайтах и заставляли юзера кликать по самым «привлекательным» ссылкам: порно, пиратские фильмы и якобы бесплатные программы.
Пока ничего не подозревающий пользователь наслаждался свежей серией сериала или изучал статьи с шокирующими подробностями из жизни звезд, на фоне творилось нечто невообразимое: новые вкладки пестрели рекламными сайтами, переходы исчислялись десятками порталов.
Согласно тому же авторитетному рейтингу Alexa, подобные мусорные сайты-однодневки иногда появлялись в сотне самых популярных ресурсов в мире.
К счастью, для подобной накрутки мошенники не заставляли пользователей скачивать вредоносные файлы, но именно на таких ресурсах обычно и существуют те самые подставные «бесплатные» программы. Они обещают те функции, которые проверенные разработчики обычно публикуют на платной основе, и в итоге открывают доступ мошенникам, которые точно знают, как использовать чужие данные.
Как и во многих случаях, эксперты советуют элементарное: не кликать на все подряд и хорошенько думать, прежде чем загружать файлы с сомнительных сайтов на свой компьютер.
Анастасия Евтушенко
Комментирование разрешено только первые 24 часа.
10 +0−0 | Alexey Groshikov | 00:49:38 07/06/2017 |
Так и программы от маил ру таким же образом лезут в каждый компьютер. |
7 +0−0 | aston27 | 07:24:00 07/06/2017 |
То есть когда какой нибудь яндекс бар или мейлру агент ставится таким же образом затесавшись в программу установки вполне нормальной программы про это мы не пишем, это не интересно, а вот китайцы дааа. Всякие яндес и мейлу бары, яндекс браузер и прочее маркетинговое Г. проникает на компы точно также, и ведет себя точно также сливая всю информацию о телодвижениях жертвы, а благодаря механизму обновлений закачать и запустит на компе у пользователя можно все что угодно. Напишите лучше про это. |
6 +0−0 | Марк Короневский | 08:36:48 07/06/2017 |
Браузер Амиго, ты ли это? |
5 +0−0 | Сергей Пупкин | 01:06:58 07/06/2017 | ||||||
| ||||||||
яндекс- аналогично. +слив кук и идентификация пользователей начиная от трафика заканчивая персональными данными |
4 +0−0 | влад крас | 13:11:39 07/06/2017 |
Майл Ру и ему подобные много лет заражали пользователей захватчиками браузера. |
2 +0−0 | Alexey Groshikov | 12:36:19 07/06/2017 | ||||||
| ||||||||
Ну эти мене более просто удалить, с китайскими сложнее так как там название конопок при удалении на китайском написаны. |
2 +0−0 | Кек Кеков | 12:19:03 07/06/2017 | ||||||
| ||||||||
Страшный вирус Амиго и МэйлГвард, хуже Эболы. |
2 +0−0 | brb | 10:41:34 07/06/2017 | ||||||
| ||||||||
А ты пробовал маил.ру агента или яндекс бар/браузер удалить? Мне кажется даже если сжечь комп в доменной печи, все равно какие-то следы останутся и они возродятся. Как долбаный Волан-де-Морт. |
2 +0−0 | Roman Lt | 06:34:47 07/06/2017 |
"Амиго", привет! |
2 +0−0 | Xin Qilin | 02:44:09 07/06/2017 |
Семь раз подумай – один раз покликай. Да, не пускай зло-вреда в окна свои. Да, изыдите куки и шпионский варез. Да, поможет тебе Великий Антивирус. Аминь. |
1 +0−0 | Илья Ипполитов | 12:54:07 07/06/2017 |
Удивили, Амиго от mail.ru давно промышляет такими пакостями. |
1 +0−0 | Кек Кеков | 12:20:23 07/06/2017 | ||||||
| ||||||||
И МэйлГвард И ЯндыксБар... |
1 +0−0 | Pony Em | 09:46:52 07/06/2017 |
Cуки |
1 +0−0 | yes yes | 09:03:35 07/06/2017 | ||||||
| ||||||||
Ты оправдываешь лукавство. |
1 +0−0 | Alex Diver | 01:14:28 07/06/2017 |
Низя нынче соваться в инет без блокировщика рекламы и антивируса. У меня и смарт рутован исключительно ради адблока. |
0 +0−0 | Egor Naumov | 14:18:08 07/06/2017 | ||||||
| ||||||||
Что такое палььцы? |
0 +0−0 | Кек Кеков | 12:18:33 07/06/2017 |
Скачать Китай, бесплатно и без СМС. |
0 +0−0 | n/a n/a | 12:08:26 07/06/2017 | ||||||
| ||||||||
"установить Яндекс по умолчанию?" - "Да" или "переспросить" |
0 +0−0 | Vadim Ivanoff | 11:30:07 07/06/2017 |
Операционка то какая? |
0 +0−0 | Александр Ю | 10:46:21 07/06/2017 | ||||||
| ||||||||
Большинство людей полные дауны. Такова природа человека, наша психика имеет особенности, которые успользуют злоумыленники, паразитируют на нас, отнимая ресурсы от нашей жизни и развития. Давай проверим, даун ли ты? Ответь, пожалуйста, на два простых вопроса? 1) Посмотри на свои руки и скажи сколько палььцев на руках? |