ADWARE – Fireball

[mrwebfeeder]

---

Nombre: Fireball

Familia: Rafotech

Categoría: Adware + Browser Hijacker

Descripción general:
Fireball es una familia de adware/hijacker asociada a Rafotech. Suele distribuirse empaquetada con software gratuito o instaladores de terceros. Una vez presente en el sistema, secuestra parte de la configuración del navegador para redirigir el tráfico web, mostrar publicidad invasiva y empujar extensiones o plugins no deseados.

Comportamiento (lo que hace y archivos que afecta):

• Cambia buscador y home page:
  - Modifica el buscador por defecto del navegador.
  - Cambia la página de inicio y la página de nueva pestaña por portales controlados por el adware, dirigidos a generar tráfico y monetizar vía publicidad y tracking.
  
• Inyecta anuncios:
  - Inserta anuncios adicionales en páginas legítimas.
  - Puede añadir banners, pop-ups, enlaces patrocinados e intersticiales que no forman parte del contenido original.
  
• Instala plugins sin permiso:
  - Intenta instalar extensiones, plugins o componentes adicionales sin consentimiento explícito del usuario.
  - Estas extensiones pueden:
  - Manipular resultados de búsqueda.
  - Redirigir a sitios afiliados.
  - Registrar actividad de navegación.
  

Persistencia (comportamiento típico):

• Puede añadir entradas en el Registro para ejecutarse al inicio (Run/RunOnce).
  
• Modifica accesos directos de navegadores para que lancen URLs o loaders específicos.
  
• Reaplica la configuración de homepage/buscador incluso después de que el usuario la cambie manualmente.
  
• Mantiene servicios o procesos residentes que vigilan y restauran sus ajustes en el navegador.
  

Hash real de referencia (SHA-256):
Muestra pública asociada a Fireball:

Code:

5d9ad8c166c6a7787d6fa3f6cf287e7fc7afcc9d6f75bd94e8368e6c21fb08c4

Mitigación con GetOverX Shield v3.0.2.0 o superior:

• Antivirus / Limpieza de adware:
  - Ejecutar un escaneo completo con el motor AV de GetOverX Shield para detectar:
  - Instaladores y componentes de Fireball.
  - Binarios auxiliares responsables de reinstalar extensiones o cambiar la configuración del navegador.
  - Eliminar o poner en cuarentena todos los artefactos detectados.
  
  
• HIPS – Protección de configuración del navegador:
  - Configurar reglas HIPS para bloquear:
  - Cambios no autorizados de página de inicio, buscador por defecto y página de nueva pestaña.
  - Instalación silenciosa de extensiones/plugins por procesos no confiables.
  - Generar alertas cuando procesos desconocidos modifiquen ajustes de navegador o parámetros de sus accesos directos.
  
  
• Hardening del navegador:
  - Revisar manualmente:
  - Lista de extensiones y plugins instalados, eliminando los no deseados.
  - Configuración de homepage, motor de búsqueda y página de nueva pestaña.
  - Restablecer el navegador a la configuración predeterminada si la contaminación es extensa.
  - Desactivar la instalación de extensiones desde orígenes no oficiales cuando sea posible.
  
  
• Sandbox de instaladores sospechosos:
  - Analizar en Sandbox instaladores “gratuitos” o paquetes que incluyan barras de herramientas u “ofertas” adicionales.
  - Solo permitir la instalación en el entorno real si el análisis no muestra cambios agresivos en el navegador o comportamiento de hijacker/adware.
  
  
• Medidas adicionales:
  - Educar a usuarios para:
  - Leer con atención los asistentes de instalación y desmarcar ofertas adicionales.
  - Descargar software únicamente de sitios oficiales o repositorios de confianza.
  - Mantener navegadores y sistemas actualizados para minimizar vectores de abuso.
  

---

Notas opcionales:
- Fireball puede no ser destructivo como un ransomware, pero su capacidad de secuestro de navegador, tracking y distribución de plugins no deseados lo convierte en un riesgo de privacidad y en un vector para futuras amenazas.