В июне эксперты Check Point сообщили о крупномасштабной киберкампании Fireball, затронувшей свыше 250 миллионов устройств по всему миру.
Программа Fireball, проникая в браузеры, могла выполнять произвольный код, загружать любые файлы на инфицированный компьютер, а также давала операторам возможность управлять пользовательским трафиком для получения прибыли от рекламы. Несмотря на сообщения о том, что Fireball лишь осуществляет установку плагинов и дополнительных настроек для того, чтобы увеличить рекламный трафик, эксперты отмечали, что ее можно использовать для распространения любых вредоносных программ.
Специалисты Check Point выяснили, что управление киберкампанией осуществляет крупное маркетинговое агентство Rafotech, чей офис находится в Пекине. Rafotech пользуется Fireball для управления браузерами и подмены поисковиков и стартовых страниц, установленных по умолчанию, на фальшивые поисковые системы, осуществляющие переадресацию запросов на yahoo.com или google.com. Также эти ресурсы могут осуществлять сбор персональных данных пользователей.
Недавно ряд китайских СМИ сообщил о том, что вскоре после того, как отчет Check Point был опубликован, в полицию поступило анонимное заявление касаемо активности Fireball. По окончании расследования 15 июня китайские полицейские начали аресты сотрудников Rafotech. Среди 14 задержанных – три менеджера Rafotech и руководство компании. Кроме того, СМИ сообщают, что при задержании 9 из них хотели спешно стереть всю компрометирующих их информацию со своих компьютеров. Все арестованные уже признали себя виновными.
Представители пекинской полиции сообщают, что в 2015 году компанию Rafotech основали три студента, являющихся разработчиками различных рекламных программ, позже объединенных в Fireball. Правоохранители оценивают прибыль, полученную Rafotech от рекламного ПО, превышает 80 миллионов юаней (11,8 миллиона долларов).
