Trojanac Flashback je još uvek aktivan, najmanje 22000 Mac računara zaraženo ovim malverom

Vesti, 10.01.2014, 08:13 AM

Za Trojanca nazvanog Flashback većina korisnika je prvi put čula u martu 2012. godine, kada je ovaj malver već inficirao više od 600000 Mac računara.

Malver je ustvari otkriven nešto ranije, krajem 2011. godine. Prvobitna verzija malvera koristila je tehnike društvenog inženjeringa da bi prevarila korisnike i naterala ih da instaliraju maliciozni Adobe-ov Flash Player. Verzije malvera koje su se pojavile kasnije i koje su odgovorne za infekciju više od pola miliona računara koristile su Java exploit-e u drive-by download napadima. Flashback je tako postao najsofisticiranija i najuspešnija pretnja svih vremena za Mac računare.

Dve godine kasnije kompanija Intego je objavila da je Flashback još uvek aktivan i da se nalazi na najmanje 22000 zaraženih računara.

Kada se instalira na Mac računaru, Flashback kreira backdoor, omogućavajući napadačima skoro sve aktivnosti koje možete zamisliti na zaraženom računaru. Hakeri mogu pristupati zaraženom računaru i špijunirati korisnika, kopirati korisnička imena i lozinke i drugo.

Flashback je prvenstveno korišćen kao alat za prevare sa klikovima tako što je primoravao zaražene Mac računare da prikazuju sponzorisane linkove pružajući mogućnost operaterima bot mreže da zarade milione dolara od oglasa. Flashback je mogao da se koristi i za slanje spama, DoS napade i druge zlonamerne aktivnosti.

Flashback periodično generiše domene koje zaraženi računari kontaktiraju. Da ne bi izgubili kontrolu nad zaraženim računarima, autori Flashback-a su programirali malver tako da proverava novi pseudo-nasumično generisani domen svakog dana na pet top level domena (TDL).

Zaraženi Mac bi pokušao da kontaktira isti domen na pet top level domena (.com, .net, .info, .in, .kz) dok ne dobije ispravan odgovor bota. Da bi se blokirao taj lanac, nije bilo dovoljno kupiti .com domen jer su hakeri mogli da testiraju sve top level domene i kupiti i koristiti druge domene za maliciozne aktivnosti. Server odgovara zaraženom Mac računaru tajnim podatkom koji potvrđuje da je on kontroler Flashback bot mreže. Nakon toga, mrežni paketi se šifruju jedinstvenim identifikatorom koji dolazi sa zaraženog računara pri prvom zahtevu C&C serveru. Potom server šalje komande za zaraženi Mac. Tako botnet server ima potpunu kontrolu nad zaraženim računarom.

Apple-ov tim zadužen za bezbednost proizvoda je 2012. godine bio prinuđen da preduzme određene mere da bi zaustavio pohod ovog malvera. Apple se suprotstavio malveru reverznim inženjeringom algoritma za generisanje domena i kupovinom svih domena do kraja 2013. godine, čime je kompanija sprečila da bilo ko izvan Apple-a ima uvid u Flashback bot mrežu. Početkom godine, Apple je na kratko propustio da kupi neke domene čija je registracija isticala, što je Intego iskoristio tako da su stručnjaci ove firme mogli da imaju uvid u delovanje Flashback-a. Tokom prethodnih nekoliko dana Apple je kupio sve domene za 2014. godinu.

Počev od 2. januara Intego je vršio monitoring nad domenima koje je kupio pa su sinkhole serveri kompanije zabeležili konekcije sa Mac računara na kojima je Flashback još uvek aktivan i sa kojih pokušava da se poveže sa C&C serverima.

Tako je Intego došao do broja od 22000 zaraženih računara.

Sve dok domene registruje Apple i stručnjaci za bezbednost da bi ih nadzirali, autorima malvera preostaje samo da kupe domene u budućnosti.

Stručnjaci Intego-a preporučuju Mac korisnicima da provere da li su njihovi računari zaraženi malverom.