Flashfake, czyli wirus dla Mac OS X. Jak działa?

Wirus Flashfake (znany również jako Flashback) zainfekował niemal 750 000 Maków na całym świecie. Jakie są mechanizmy infekcji i dystrybucji szkodliwego oprogramowania dla komputerów Apple? Na to pytanie odpowiadają eksperci z firmy Kaspersky Lab.

Szkodliwy moduł Flashfake'a ukrywający się pod postacią dodatku Adobe Flash Player dla Firefoksamateriały prasowe

Mac OS staje się coraz bardziej narażony na ataki złośliwych programów

Komputery

Trojan zaatakował 600 tysięcy użytkowników OS X

Flashfake składa się z kilku modułów, które dodają do atakowanej przeglądarki internetowej szkodliwy kod i przyłączają zainfekowane Maki do serwerów kontrolowanych przez cyberprzestępców. W ten sposób powstaje botnet - sieć zainfekowanych komputerów. Gdy ofiara przegląda strony internetowe przy użyciu wyszukiwarki Google, serwery kontroli Flashfake'a zastępują reklamy i odsyłacze na stronach internetowych ich sfałszowanymi odpowiednikami. Skłaniając użytkowników zainfekowanych komputerów do klikania oszukańczych odsyłaczy lub reklam, cyberprzestępcy zarabiają pieniądze i mogą doprowadzić do infekcji kolejnymi szkodliwymi programami.

Udoskonalone funkcje

W marcu 2012 r. grupa odpowiedzialna za Flashfake'a wprowadziła wiele nowych funkcji do swojego szkodliwego programu. Obejmują one nową metodę wyszukiwania dla serwerów kontroli przy użyciu Twittera oraz dodatek do przeglądarki Firefox zamaskowany pod postacią dodatku do odtwarzacza Adobe Flash Player. Szkodliwa wtyczka pozwala cyberprzestępcom kontrolować zainfekowane komputery oraz jeszcze skuteczniej podmieniać reklamy i odsyłacze na stronach wyszukiwanych przez użytkowników.

"Flashfake jest obecnie najbardziej rozpowszechnionym szkodliwym oprogramowaniem dla systemu Mac OS X" - komentuje Costin Raiu, dyrektor globalnego zespołu ds. badań i analizy (GReAT), Kaspersky Lab. "Cyberprzestępcy nie tylko rozwinęli swoje metody ataków, dzięki czemu wykorzystują teraz luki zero-day, ale również stworzyli platformę, która jest elastyczna i może zostać łatwo zmodyfikowana w celu przeprowadzania nowych akcji. Flashback sprawdza, czy istnieją rozwiązania antywirusowe, posiada zintegrowane mechanizmy chroniące go przed wykryciem i wykorzystuje szyfrowanie w celu komunikowania się z serwerami kontroli. Świadczy to o tym, że cyberprzestępcy są skłonni zainwestować czas i wysiłek po to, by zwiększyć skalę i skuteczność tego szkodliwego oprogramowania".

Mimo, że przed końcem kwietnia Flashfake zainfekował ponad 748 000 komputerów z systemem Mac OS X, rozmiar botnetu znacznie zmniejszył się. W maju liczba aktywnych botów została oszacowana na 112 528.