Beveiligingsbedrijf Check Point heeft een adwarevariant geïdentificeerd die het zelf Fireball noemt. Deze wordt verspreid door een Chinees marketingbedrijf door bundeling met andere software. De eigenschappen van de adware zorgen ervoor dat deze mogelijk veel schade kan aanrichten.
Het bedrijf vermeldt dat het bij Fireball gaat om een zogenaamde browser hijacker. Op dit moment wordt de adware door het bedrijf Rafotech ingezet om advertentieopbrengsten binnen te halen. Dat gebeurt door internetverkeer naar nepzoekmachines te genereren. Veertien van deze zoekmachines staan volgens Check Point inmiddels tussen de populairste 10.000 websites in de Alexa-ranking. Soms staan zij ook in de top 1000. De verspreiding vindt plaats door de software te bundelen met andere Rafotech-programma's en freeware.
Inmiddels zouden er wereldwijd 250 miljoen systemen geïnfecteerd zijn met Fireball, voornamelijk in India en Brazilië. Het bedrijf vermeldt niet welke browsers kwetsbaar zijn voor de adware. Daarnaast zouden 20 procent van alle zakelijke netwerken infecties met Fireball vertonen. De verspreiding is problematisch, omdat de adware ook in staat is om code uit te voeren en dienst te doen als een malware dropper, waarmee kwaadaardige software binnengehaald kan worden. Hoewel Fireball dit momenteel niet doet, bestaat dit risico volgens Check Point wel.
De onderzoekers stellen dat Fireball technisch goed in elkaar zit en niet onderdoet voor andere malware. Zo gebruikt de software technieken om detectie te voorkomen en is de verbinding naar de command and control-server flexibel.