Trojanac Flashback je još uvek aktivan, najmanje 22000 Mac računara zaraženo ovim malverom

Vesti, 10.01.2014, 08:13 AM

Trojanac Flashback je još uvek aktivan, najmanje 22000 Mac računara zaraženo ovim malverom

Za Trojanca nazvanog Flashback većina korisnika je prvi put čula u martu 2012. godine, kada je ovaj malver već inficirao više od 600000 Mac računara.

Malver je ustvari otkriven nešto ranije, krajem 2011. godine. Prvobitna verzija malvera koristila je tehnike društvenog inženjeringa da bi prevarila korisnike i naterala ih da instaliraju maliciozni Adobe-ov Flash Player. Verzije malvera koje su se pojavile kasnije i koje su odgovorne za infekciju više od pola miliona računara koristile su Java exploit-e u drive-by download napadima. Flashback je tako postao najsofisticiranija i najuspešnija pretnja svih vremena za Mac računare.

Dve godine kasnije kompanija Intego je objavila da je Flashback još uvek aktivan i da se nalazi na najmanje 22000 zaraženih računara.

Kada se instalira na Mac računaru, Flashback kreira backdoor, omogućavajući napadačima skoro sve aktivnosti koje možete zamisliti na zaraženom računaru. Hakeri mogu pristupati zaraženom računaru i špijunirati korisnika, kopirati korisnička imena i lozinke i drugo.

Flashback je prvenstveno korišćen kao alat za prevare sa klikovima tako što je primoravao zaražene Mac računare da prikazuju sponzorisane linkove pružajući mogućnost operaterima bot mreže da zarade milione dolara od oglasa. Flashback je mogao da se koristi i za slanje spama, DoS napade i druge zlonamerne aktivnosti.

Flashback periodično generiše domene koje zaraženi računari kontaktiraju. Da ne bi izgubili kontrolu nad zaraženim računarima, autori Flashback-a su programirali malver tako da proverava novi pseudo-nasumično generisani domen svakog dana na pet top level domena (TDL).

Zaraženi Mac bi pokušao da kontaktira isti domen na pet top level domena (.com, .net, .info, .in, .kz) dok ne dobije ispravan odgovor bota. Da bi se blokirao taj lanac, nije bilo dovoljno kupiti .com domen jer su hakeri mogli da testiraju sve top level domene i kupiti i koristiti druge domene za maliciozne aktivnosti. Server odgovara zaraženom Mac računaru tajnim podatkom koji potvrđuje da je on kontroler Flashback bot mreže. Nakon toga, mrežni paketi se šifruju jedinstvenim identifikatorom koji dolazi sa zaraženog računara pri prvom zahtevu C&C serveru. Potom server šalje komande za zaraženi Mac. Tako botnet server ima potpunu kontrolu nad zaraženim računarom.

Apple-ov tim zadužen za bezbednost proizvoda je 2012. godine bio prinuđen da preduzme određene mere da bi zaustavio pohod ovog malvera. Apple se suprotstavio malveru reverznim inženjeringom algoritma za generisanje domena i kupovinom svih domena do kraja 2013. godine, čime je kompanija sprečila da bilo ko izvan Apple-a ima uvid u Flashback bot mrežu. Početkom godine, Apple je na kratko propustio da kupi neke domene čija je registracija isticala, što je Intego iskoristio tako da su stručnjaci ove firme mogli da imaju uvid u delovanje Flashback-a. Tokom prethodnih nekoliko dana Apple je kupio sve domene za 2014. godinu.

Počev od 2. januara Intego je vršio monitoring nad domenima koje je kupio pa su sinkhole serveri kompanije zabeležili konekcije sa Mac računara na kojima je Flashback još uvek aktivan i sa kojih pokušava da se poveže sa C&C serverima.

Tako je Intego došao do broja od 22000 zaraženih računara.

Sve dok domene registruje Apple i stručnjaci za bezbednost da bi ih nadzirali, autorima malvera preostaje samo da kupe domene u budućnosti.

Stručnjaci Intego-a preporučuju Mac korisnicima da provere da li su njihovi računari zaraženi malverom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Sud naložio NSO grupi da preda WhatsAppu kod softvera Pegaz kojim su špijunirani njegovi korisnici

Američki savezni sud naložio je izraelskoj kompaniji NSO da preda WhatsAppu izvorni kod za softver za špijunažu Pegaz i druge proizvode kompanije.... Dalje

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Hakeri prevarili popularni maloprodajni lanac Pepco, ukradeno 15,5 miliona evra

Evropski diskontni maloprodajni lanac Pepco Group koji posluje u 21 zemlji, prijavio je fišing napad u svom ogranku u Mađarskoj, koji je rezultirao ... Dalje

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Malver sakriven u lažnim mejlovima sa sajta Booking.com

Prevaranti ciljaju korisnike popularnih provajdera usluga u vezi putovanja malverom Agent Tesla, šaljući im mejlove u ime sajtova kao što je Bookin... Dalje

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Posle velike policijske akcije, ransomware kartel LockBit je ponovo aktivan, stižu izveštaji o novim žrtvama njihovih napada

Nekoliko dana nakon što je globalna policijska akcija desetkovala njihovu infrastrukturu, zloglasna ransomware grupa LockBit se ponovo se pojavila. &... Dalje

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple uvodi u iMessage novu zaštitu od napada iz budućnosti

Apple je objavio da uvodi u iMessage novi post-kvantni kriptografski protokol pod nazivom PQ3, dizajniran da brani šifrovanje od kvantnih napada. iMe... Dalje