Zagrożenia internetowe I kw. 2012

Przeczytaj także: Ataki DDoS II poł. 2011

Botnet z składający się z komputerów Mac

Kolejnym botnetem, który zwrócił uwagę ekspertów w pierwszym kwartale, była sieć zombie zbudowana z komputerów działających pod kontrolą systemu Mac OS X.

Kaspersky Lab wykrywa trojana wykorzystywanego do budowy tego botnetu pod nazwą Trojan-Downloader.OSX.Flashfake. Opublikowaliśmy analizy tego szkodnika zarówno w zeszłym jak i tym roku.

Pierwsze wersje Flashfake’a pojawiły się zeszłej jesieni. Twórcy tego szkodliwego programu zadbali, aby jego obecność była trudniejsza do wykrycia (postarali się, aby trojan ten nie był instalowany na komputerach posiadających ochronę, zaprogramowali boty, aby wyłączały aktualizację wbudowanego systemu ochrony Mac OS X Xprotect). Później cyberprzestępcy eksperymentowali z nowymi sposobami kontrolowania botnetów. Na przykład, niektóre wersje Flashfake’a wykorzystywały konta na Twitterze, stworzone przez cyberprzestęców jako serwisy kontroli.

Głównym celem omawianego bota jest pobieranie i uruchamianie dodatkowych modułów bez wiedzy użytkownika. Osoby atakujące zarabiają pieniądze poprzez generowanie fałszywych wyników wyszukiwarek: celem dodatkowego modułu jest zamiana odsyłaczy w wynikach wyświetlanych przez popularne wyszukiwarki. Naturalnie osoby atakujące mogą wykorzystywać również inne moduły, np. w celu kradzieży danych z zainfekowanych komputerów.

W marcu 2012 r. Flashback zainfekował około 700 000 komputerów na całym świecie.

Osoby atakujące wykorzystywały exploita Javy w celu dystrybucji wspomnianego wcześniej szkodliwego programu. Warto wspomnieć, że Oracle nie może automatycznie aktualizować Javy na komputerach z systemem Mac OS X. Użytkownicy muszą czekać na aktualizację od firmy Apple, co niekiedy trwa nawet kilka miesięcy. W efekcie, okres, w którym cyberprzestępcy mogą wykorzystywać exploita w celu infekowania Maków, jest znacznie dłuższy niż w przypadku systemu Windows. Apple opublikował łatę usuwającą lukę, która była wykorzystywana do rozprzestrzeniania Flashbacka na początku kwietnia, mimo że Oracle udostępnił swoją własną łatę jeszcze w lutym.

Liczba ataków na maszyny z systemem Mac OS X wykorzystujących luki zero-day z pewnością będzie wzrastać. Większość podatnych na ataki aplikacji, które stanowią popularny cel cyberprzestępców, charakteryzuje się wieloplatformowością, tzn. działają zarówno w systemie Windows jak i Mac OS X. Ułatwia to tworzenie exploitów dla systemu Mac OS X.

Rosnące zainteresowanie cyberprzestępców platformą Apple potwierdzają statystyki firmy Kaspersky Lab dotyczące wykrywania nowych wersji szkodliwego oprogramowania atakującego Mac OS X: