Впервые о новом вирусе рассказала компания Check Point. Она узнала об основных функциях вредоносного ПО и поделилась этой информацией с общественностью. Тогда было установлено, что попадая на компьютер жертвы, вирус может запускать загрузку на ПК абсолютно любых файлов и удаленно выполнять произвольный код. Это все нужно было для выполнения другой функции, которая считалась более важной. С ее помощью злоумышленники могли управлять трафиком своей жертвы, чтобы увеличить свою прибыль от размещения рекламного контента. По своей сути никакого финансового или какого-либо другого ущерба Fireball не причинял пользователям, разве что загружал и устанавливал в браузер дополнительные плагины. Однако эксперты уверены, что со временем эта кампания могла использоваться для распространения любого другого вируса, который бы мог оказаться более опасным для обычных пользователей.
После подробного изучения вируса было установлено, что он проникает на компьютеры своих жертв вместе с другим программным обеспечением, которое устанавливает сам пользователь.
Все попытки выяснить, кто же является создателем и распространителем этого вируса, привели специалистов Check Point к крупнейшему маркетинговому агентству Rafotech, которое зарегистрировано и действует в Пекине. Установлено, что эта компания использовала вирус для того, чтобы получить полное управление над браузерами своих жертв, устанавливать разные плагины, менять стартовые страницы и даже подменять поисковые системы. Естественно, такие действия представляли очень большую угрозу для безопасности пользователей, так как в случае использования фейковых поисковиков люди могли передать свои личные данные злоумышленникам даже не подозревая об этом. Кроме этого, такие поддельные поисковые системы активно собирали информацию о предпочтениях и интересах пользователей, чтобы потом использовать эти данные для своих нужд.
Через несколько дней после запуска в сети вируса Fireball аноним заявил в полицию Пекина о неправомерных действиях, и уже с 15 июня правоохранители начали задерживать и допрашивать всех причастных к распространению вредоносного программного обеспечения. Пока удалось установить причастность к распространению вируса 14-ти человек, среди которых значатся 3 менеджера и руководители разных подразделений. Все подозреваемые уже признались в подготовке adware-кампании.
В ходе расследования выяснилось, что компанию Rafotech открыли 2 года назад трое студентов. Они занимались разработкой и распространением разного рода вредоносного ПО. За все время своей деятельности они смогли заработать почти 123 млн долларов.