Ponad 600 000 komputerów Mac ofiarą wirusa

W ramach ogromnego botnetu Flashflake działa ponad 600 000 zainfekowanych komputerów na całym świecie.

Dla użytkowników Maków, producent popularnego oprogramowania antywirusowego przygotował stronę, na której można łatwo sprawdzić, czy posiadany komputer jest zainfekowany i stanowi cześć botnetu. Dostępne jest także bezpłatne narzędzie usuwające szkodliwy program FlashFake z zarażonych Maków.

Apple wiedział o luce w zabezpieczeniach Javy od trzech miesięcy, a mimo to nie opublikował w tym czasie żadnej aktualizacji!

Wykonana przez ekspertów analiza wykazała, że botnet składa się z ponad 60. 000 zainfekowanych maszyn, przy czym do najbardziej dotkniętych regionów należą Stany Zjednoczone (300 917 zainfekowanych komputerów), Kanada (94 625), Wielka Brytania (47 109) oraz Australia (41 600). Przy użyciu heurystycznej metody "OS fingerprinting" analitycy zdołali ustalić, jakie systemy operacyjne były wykorzystywane na zainfekowanych komputerach, i stwierdzili, że 98 proc. najprawdopodobniej działało pod kontrolą systemu Mac OS X. Ponadto analitycy przypuszczają, że pozostałe 2 proc. maszyn, na których zainstalowano bota, to również Maki.

Flashfake to rodzina szkodliwego oprogramowania dla systemu OS X, która po raz pierwszy pojawiła się we wrześniu 2011. W poprzednich wariantach szkodnika cyberprzestępcy wykorzystywali socjotechnikę w celu nakłonienia użytkowników do pobrania tego programu i zainstalowania go w swoich systemach. Jednak ostatnia wersja Flashfake’a nie wymaga żadnej interakcji ze strony użytkownika i jest instalowana za pośrednictwem ataku "drive-by download" (gdy ofiary nieświadomie odwiedzają zainfekowane strony internetowe), w wyniku czego trojan zostaje pobrany bezpośrednio na komputery ofiar za pośrednictwem luk w zabezpieczeniach Javy. Po infekcji trojan dostarcza dodatkową funkcję szkodliwą, która „porywa” wyniki wyszukiwania ofiar w ich przeglądarkach internetowych w celu przeprowadzenia dalszych oszustw.

Mimo że obecnie nie wykryto żadnych innych szkodliwych aktywności omawianego trojana, zagrożenie nadal jest poważne, ponieważ szkodnik ten działa jako tzw. downloader na komputerach użytkowników. Oznacza to, że cyberprzestępcy stojący za botnetem Flashfake mogą łatwo opublikować nowe uaktualnione szkodliwe oprogramowanie - potrafiące kraść poufne informacje, takie jak hasła czy dane dotyczące kart kredytowych - i zainstalować je na zainfekowanych maszynach.

Chociaż trzy miesiące temu Oracle opublikował łatę na lukę wykorzystywaną do przyłączania maszyn do botnetu, Apple opóźniał wysłanie aktualizacji bezpieczeństwa swoim klientom do 2 kwietnia. Użytkownicy, którzy nie uaktualnili swoich systemów, powinni zrobić to natychmiast, aby uniknąć infekcji (szczegóły dotyczące aktualizacji)
.

_ "Trzymiesięczna zwłoka w dostarczeniu aktualizacji bezpieczeństwa była złą decyzją ze strony Apple” _ - komentuje Aleksander Gostiew, główny ekspert ds. bezpieczeństwa, Kaspersky Lab. _ "Wynika to z kilku przyczyn. Po pierwsze, Apple nie pozwala Oracle załatać Javy dla Maka. Firma robi to sama, zwykle kilka miesięcy później. To oznacza, że okres, w którym użytkownicy Maków pozostają bez ochrony, jest znacznie dłuższy niż w przypadku użytkowników komputerów PC. Jest to tym bardziej zła wiadomość, że w standardowej aktualizacji antywirusowej Apple’a nowe sygnatury dodawane są dopiero wtedy, gdy zagrożenie zostaje uznane za wystarczająco poważne. Apple wiedział o luce w zabezpieczeniach Javy od trzech miesięcy, a mimo to nie opublikował w tym czasie żadnej aktualizacji! Problem pogarsza dodatkowo fakt, że do tej pory Apple cieszył się legendarną reputacją ‘wolnego od szkodliwego oprogramowania’. Zbyt wielu użytkowników nie zdaje sobie sprawy z tego, że ich komputery zostały lub mogą zostać zainfekowane"
_.

Użytkownikom systemu Mac OS X zalecamy zainstalowanie najnowszych aktualizacji bezpieczeństwa firmy Apple.

Dla użytkowników Maków eksperci z Kaspersky Lab przygotowali specjalną stronę, na której łatwo można sprawdzić, czy komputer został przyłączony do botnetu FlashFake. Jeżeli strona potwierdzi infekcję, można skorzystać z bezpłatnego narzędzia Kaspersky FlashFake Removal Tool, które automatycznie przeskanuje system Mac OS X i usunie szkodliwy program.

Źródło: Kaspersky Lab