Strona główna / Bezpieczeństwo / Botnet Flashfake/Flashback na wielu Makach
środa 11 kwiecień 2012 | Jan Petersen/Kaspersky Lab
Botnet Flashfake/Flashback na wielu Makach
Kaspersky Lab przeanalizował botnet Flashflake. Analiza wykazała, że ponad 98% zainfekowanych komputerów najprawdopodobniej działało pod kontrolą jednej z wersji systemu Mac OS X. Specjalnie dla użytkowników Maków Kaspersky Lab przygotował stronę, na której można łatwo sprawdzić, czy posiadany komputer jest zainfekowany i stanowi cześć botnetu. Dostępne jest także bezpłatne narzędzie usuwające szkodliwy program FlashFake z zarażonych Maków.

W celu zainfekowania komputerów ofiar stojący za botnetem cyberprzestępcy instalowali trojana Flashfake, który przeniknął do komputerów użytkowników bez ich wiedzy, wykorzystując znane od dawna luki w zabezpieczeniach Javy. Aby przeanalizować botnet, eksperci z Kaspersky Lab dokonali inżynierii wstecznej szkodliwego oprogramowania Flashfake i zarejestrowali kilka nazw domen, które mogły zostać wykorzystane przez przestępców jako serwer służący do zarządzania botnetem. Metoda ta pozwoliła im przechwytywać i analizować komunikację między zainfekowanymi komputerami a innymi serwerami kontrolowanymi przez cyberprzestępców.

  • Analiza wykazała, że botnet składa się z ponad 600 000 zainfekowanych maszyn, przy czym do najbardziej dotkniętych regionów należą Stany Zjednoczone (300 917 zainfekowanych komputerów), Kanada (94 625), Wielka Brytania (47 109) oraz Australia (41 600). Przy użyciu heurystycznej metody OS fingerprinting analitycy z Kaspersky Lab zdołali ustalić, jakie systemy operacyjne były wykorzystywane na zainfekowanych komputerach, i stwierdzili, że 98% najprawdopodobniej działało pod kontrolą systemu Mac OS X. Analitycy przypuszczają, że pozostałe 2% maszyn, na których zainstalowano bota, to również Maki.  

Flashfake to rodzina szkodliwego oprogramowania dla systemu OS X, która po raz pierwszy pojawiła się we wrześniu 2011. W poprzednich wariantach szkodnika cyberprzestępcy wykorzystywali socjotechnikę w celu nakłonienia użytkowników do pobrania tego programu i zainstalowania go w swoich systemach. Jednak ostatnia wersja Flashfake'a nie wymaga żadnej interakcji ze strony użytkownika i jest instalowana za pośrednictwem ataku "drive-by download" (gdy ofiary nieświadomie odwiedzają zainfekowane strony), w wyniku czego trojan zostaje pobrany bezpośrednio na komputery ofiar za pośrednictwem luk w zabezpieczeniach Javy. Po infekcji trojan dostarcza dodatkową funkcję szkodliwą, która porywa wyniki wyszukiwania ofiar w ich przeglądarkach internetowych w celu przeprowadzenia dalszych oszustw.                

  • Chociaż trzy miesiące temu Oracle opublikował łatę na lukę wykorzystywaną do przyłączania maszyn do botnetu, Apple opóźniał wysłanie aktualizacji bezpieczeństwa swoim klientom do 2 kwietnia. Użytkownicy, którzy nie uaktualnili swoich systemów, powinni zrobić to natychmiast, aby uniknąć infekcji (szczegóły dotyczące aktualizacji można znaleźć tutaj: http://support.apple.com/kb/HT5228). Użytkownikom systemu Mac OS X zaleca się zainstalowanie najnowszych aktualizacji bezpieczeństwa firmy Apple: http://support.apple.com/kb/HT1222.

Sprawdź czy Mac jest zainfekowany i usuń FlashFake

Specjalnie dla użytkowników Maków eksperci z Kaspersky Lab przygotowali stronę http://flashbackcheck.com, na której łatwo można sprawdzić, czy użytkowany komputer został przyłączony do botnetu FlashFake.

Jeżeli strona potwierdzi infekcję, można skorzystać z bezpłatnego narzędzia Kaspersky FlashFake Removal Tool (aplikacja dostępna jest tutaj: http://support.kaspersky.com/downloads/utils/flashfake_
removal_tool.zip
), które automatycznie przeskanuje system Mac OS X i usunie szkodliwy program.

Źródło: Kaspersky Lab

 

Podobne artykuły
  • Fałszywka na Maca

    Kaspersky Lab poinformował o pojawieniu się fałszywego oprogramowania antywirusowego na...
  • Kaspersky na Maka

    Oszałamiający sukces komputerów Mac sprawia, że stają się one ...
Komentarze
comments powered by Disqus
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej