Les autorités de Pékin ont procédé à l’arrestation de 11 personnes suspectées d’être directement liées au redoutable malware Fireball. Tous ont été payé par un certain “Zhang Ming”.
Pour rappel, Fireball est un programme malveillant capable de détourner le navigateur d’un utilisateur et d’exécuter du code arbitraire sur la machine ainsi infectée. D’après les experts, le réseau lié à Fireball serait responsable de plus de 250 millions infections dans le monde, pour un bénéfice estimé à 80 millions de yuans rien que pour l’année 2016 (10 millions d’euros en deux ans).
Le malware avait de multiples capacités : fraude publicitaire, collecte de données privées, téléchargement et installation d’autres logiciels malveillants ou encore implantation de rootkits. Notons qu’il existe divers bundlers de Fireball tels que Youndoo, Trotux, Startpageing123, Luckysearch123, Hohosearch ou encore Yessearches…
Les autorités chinoises ont soupçonné que le logiciel malveillant était camouflé au sein d’un logiciel gratuit distribué par l’agence chinoise de marketing numérique Rafotech. Après avoir confirmé que c’était vrai, les autorités ont tracé l’emplacement de l’entreprise et ont arrêté 11 de ses employés.
Les chercheurs recommandent aux utilisateurs de faire preuve de prudence avant de télécharger des logiciels gratuits.
À la suite de cette vague d’arrestations en Chine, les experts de Malwarebytes ont rapidement constaté une diminution de la quantité d’adware et d’adfraud provenant des laboratoires de Rafotech. La cadence était de 30 000 détections par jour !