Kaspersky Lab a analizat recent botnet-ul Flasfake, o reţea de computere-zombie compusă din peste 600.000 de maşini infectate, mai mult de 98% dintre ele rulând sistemul de operare Mac OS X.
Pentru a infecta computerele victimelor, infractorii cibernetici au instalat troianul Flashfake fără cunoştinţa utilizatorilor, exploatând o vulnerabilitate în Java. Pentru a analiza botnet-ul, experţii Kaspersky Lab au folosit ingineria inversă* şi au înregistrat un set de domenii online, care puteau fi utilizate de infractori ca servere de comandă şi control (C&C) pentru administrarea botnet-ului. Această metodă le-a permis să intercepteze şi să analizeze procesele de comunicare dintre computerele infectate şi alte servere C&C.
Analiza realizată de Kaspersky Lab indică faptul că există peste 600.000 de maşini infectate, cele mai afectate regiuni fiind Statele Unite ale Americii (300.917 de computere infectate), urmate de Canda (94.625), Marea Britanie (47.109) şi Australia (41.600). Folosind metoda euristică „OS fingerprinting”, experţii Kaspersky Lab au descoperit că 98% dintre computerele infectate rulează Mac OS X. De asemenea, aceştia nu exclud posibilitatea ca şi restul de 2% să fie tot Mac-uri. Utilizatorii pot verifica dacă au Mac-ul infectat cu Flashfake, accesând link-ul: https://flashbackcheck.com/
Flashfake este o familie de malware apărută în septembrie 2011, care atacă platforma de operare Mac OS X. Versiunile anterioare ale acestui program periculos erau răspândite de infractorii cibernetici folosind metode de inginerie socială, care păcăleau utilizatorii să descarce şi să instaleze malware-ul în sistem. Însă, această nouă variantă de Flashfake nu necesită interacţiunea utilizatorului, deoarece se instalează prin metoda „drive-by download”, iniţiată atunci când, fără să ştie, acesta vizitează website-uri infectate, permiţând troianului să pătrundă în sistem prin intermediul unei vulnerabilităţi Java. După infectare, troianul influenţează afişarea rezultatelor din motoarele de căutare, pentru a determina victima să cadă în capcana „click-fraud”.
Până la momentul actual nu au fost înregistrate alte tipuri de activităţi maliţioase, dar riscul este foarte ridicat, deoarece troianul are funcţie de „downloader”, însemnând că infractorii cibernetici din spatele Flashfake pot trimite pachete cu actualizări, transformându-l într-un malware capabil să fure informaţii confidenţiale, precum parole şi date legate de tranzacţii financiare.
Cu toate că Oracle a lansat în urmă cu trei luni un update capabil să repare această vulnerabilitate, Apple a întârziat distribuirea unei actualizări de securitate până pe 2 aprilie. Utilizatorii care nu şi-au actualizat sistemele sunt sfătuiţi să instaleze update-ul în cel mai scurt timp, pentru a evita infectarea.
„Întârzierea cu trei luni a distribuirii update-ului reprezintă o decizie neinspirată din partea Apple”, spune Alexander Gostev, Chief Security Expert la Kaspersky Lab. „Motivele care mă determină să afirm acest lucru sunt, în primul rând, legate de faptul că Apple nu permite Oracle să elibereze pachete de reparare a soft-ului Java pentru Mac. Inginerii Apple creează singuri update-ul, de obicei cu o întârziere de câteva luni, rezultând o fereastră de expunere la risc mult mai mare decât în cazul utilizatorilor de PC-uri. Aceasta nu este o veste bună, mai ales în condiţiile în care antivirusul standard al Apple este un program rudimentar, care adaugă noi semnături doar atunci când o ameninţare este considerată suficient de prezentă. Apple ştia încă de acum trei luni de vulnerabilitatea Java şi, cu toate acestea, a neglijat distribuirea unui update mai devreme! Problema este cu atât mai gravă, în condiţiile în care – până acum – Apple s-a bucurat de o reputaţie mitică de sistem neafectat de viruşi. Prea mulţi utilizatori nu sunt conştienţi de faptul că Mac-urile lor sunt infectate sau că există o ameninţare reală la adresa securităţii sistemelor pe care le folosesc”, încheie Gostev.