Sim, é verdadeira a afirmação de que 600.000 Macs podem ter sido infectados por uma variante do malware Flashback segundo informa a Dr.Web, com posterior confirmação do pesquisador de segurança Igor Soumenkov da renomada Kaspersky.
- Colocando em termos simples e diretos o processos de infecção e o objetivo dos criminosos:
A infecção se dá quando o usuário visita um website que possui o códido malicioso, um applet Java.
Devido a uma falha na máquina virtual Java (CVE-2012-0507), um código malicioso consegue ser executado fora da sandbox (área de execução protegida), ter acesso completo ao sistema e se fazer passar por uma atualização do Adobe Flash Player para dar início ao processo de infecção.
Esse malware então verifica se existem alguns softwares instalados no sistema: Little Snitch, Xcode, VirusBarrier X6, iAntiVirus, avast!, ClamXav, HTTPScoop e Packet Peeper – se encontrar algum deles a rotina de instalação é cancelada e o malware é apagado.
Em seguida uma senha de administrador do sistema é solicitada pelo malware, porém o fornecimento ou não da senha apenas afetará a forma como a infecção vai ocorrer.
Se o usuário fornecer a senha serão criados alguns arquivos especiais no sistema e código malicioso será injetado no navegador Safari.
Se o usuário não fornecer a senha o malware fará uma verificação pela existência de outros softwares: Microsoft Word, Microsoft Office, Microsoft Office e Skype - se encontrar algum deles a rotina de instalação também é cancelada e o malware apaga a si mesmo.
Se nenhum dos softwares for encontrado, serão criados arquivos no sistema e código malicioso será injetado em qualquer applicativo que for executado pelo usuário.
Em ambos os casos, com o fornecimento ou não da senha, o componete principal do trojan (responsável pelo download do código malicioso) conecta servidores na Internet (command-and-control Servers) à espera de novos componentes tanto para download como para execução.
O malware também indentifica individualmente cada máquina que consegue infectar e informa isso aos servidores C&C.
A principal finalidade da infecção é conectar-se aos servidores C&C e realizar o download e instalação de novos malwares além de escravizar a máquina.
Este malware também está sendo usado para comandar que Macs gerem tráfego para produzir receita através de anúncios pay-per-click na Web, fazendo dinheiro para quem estiver por trás do esquema.
O comportamento aqui descrito refere-se ao funcionamento do Trojan-Downloader:OSX/Flashback.I, no sistema OS X (uma variante do BackDoor.Flashback.39).
Nada impede que variações desse trojam possam infectar outros sistemas operacionais como o Windows, UNIX e distribuições Linux, cuja a versão da máquina virtual Java utilizada ainda possua a vulnerabilidade (CVE-2012-0507) corrigida pelo Java versão 6 update 31.
- Colocando em termos simples e diretos a sequência dos eventos:
Em 14 de fevereiro deste ano a Oracle liberou para Windows, Linux e UNIX as versões Java 6 update 31, Java 5 update 34 e Java 7 update 3, com a correção para a vulnerabilidade (CVE-2012-0507) que agora foi explorada pelo Trojan-Downloader:OSX/Flashback.I.
A plataforma Mac não foi contemplada pela Oracle.
Foram necessárias mais de 6 semanas até que os usuários de Mac pudessem contar com uma atualização para a máquina virtual Java contendo a mesma correção.
Em 4 de abril a Dr.Web anucia então que mais de 500.000 Macs estariam infectados com uma variante do trojan BackDoor.Flashback.39 e por isso conectados à botnets.
A Apple libera então uma atualização do Java para Mac em 3 de abril. Com uma segunda liberação ocorrendo na sequência, em 6 de abril.
- Você que é usuário de Mac então se pergunta: o que fazer?
Se você é leitor do AppleSpotlight sabe que estamos acompanhando o caso de perto, sempre informando e fornecendo dicas valiosas sobre esse e outros assuntos.
Leia também:
- Java débâcle: Mais um relato dá crédito aos 600.000+ Macs infectados pelo FlashBack, desta vez é a Kaspersky Lab
- Atualizações: Na calada da noite, Apple atualiza novamente o Java: 2012-002 p/ o 10.7 e 10.8 [Xcode]
- Dica: Como desabilitar e habilitar o Java no Mac.
- Atualizações: Mês de abril começa com nova versão do Java para os usuários do 10.6 a 10.8 [Mac App Store]
- Então, o que tudo isso revela sobre o estado da segurança no Mac?
Nada que não seja verdadeiro desde sempre: que não existe sistema perfeitamente seguro, que apesar de tudo o Mac continua com um histório invejável de segurança – mesmo ocupando o posto de segunda plataforma de computação pessoal mais popular do mundo, são raríssimos os casos de incidentes sérios de segurança.
E principalmente que o OS X possui um registro baixíssimo de vulnerabilidades críticas. Especialmente quando comparado à outros sistemas operacionais mainstream.
Bem, se considerarmos que hoje existem aproximadamente 60 milhões de Macs em uso no mundo, o número de máquinas atingidas pelo Trojan-Downloader:OSX/Flashback.I fica em torno de 1% do total.
- E quanto a conduta da Apple nesse episódio?
Não dá pra afirmar que não houve resposta rápida ao incidente. Mas infelizmente ela não foi suficiente pois evitar o zero-day exploit é sempre mais efetivo.
E usuários do Java no Mac também ficaram por absurdas 6 semanas desprotegidos porque a Oracle não contemplou a plataforma na liberação de 14 de fevereiro.
- Então qual é a minha recomendação pra você?
Se não precisa de Java, não instale.
Desde lançamento do OS X 10.7 Lion o Java transformou-se num simples componente adicional, a ser instalado posteriormente se necessário.
Se você precisa do Java mas não o utiliza diariamente, instale e mantenha-o desativado por padrão.
E que venha logo o Mountain Lion com o Gatekeeper.
Links
AAPLinvestors: Mac Installed Base
F-Secure: Trojan-Downloader:OSX/Flashback.I
Naked Security: Apple patches Java hole that was being used to compromise Mac users
Dr.Web: Doctor Web exposes 550 000 strong Mac botnet
Secure List: Flashfake Mac OS X botnet confirmed
Wikipedia: Botnet
Wikipedia: Java (linguagem de programação)
Wikipedia: Máquina virtual Java
Loading ...