Компания Dr. Web провела специальное исследование, чтобы оценить масштабы заражения троянской программой Flashback (BackDoor.Flashback.39, в классификаторе Dr. Web), которая поражает компьютеры Macintosh через уязвимость в Java.
Как известно, компания Apple только позавчера выпустила апдейт для OS X, закрывающий февральскую уязвимость в Java. Эксплойт вышел примерно в конце февраля, так что Flashback успел заразить большое количество машин, и он делает это до сих пор, поскольку не все успели установить апдейт, и обновление вообще не выпущено для более старых версий Mac OS.
Заражение BackDoor.Flashback.39 осуществляется с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System, систем распределения трафика), перенаправляющих пользователей Mac OS X на вредоносный сайт. Такие страницы содержат скрипт, загружающий в браузер пользователя Java-апплет, который, в свою очередь, содержит эксплойт. По информации Dr.Web, на конец марта в выдаче Google присутствовало более 4 млн. зараженных веб-страниц. Кроме того, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.
Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.
Эксплойт сохраняет на жёсткий диск инфицируемого «мака» исполняемый файл, предназначенный для скачивания полезной нагрузки с удалённых управляющих серверов и её последующего запуска. Специалисты отмечают весьма интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними, переключаясь от одного командного центра к другому.
С использованием метода sinkhole специалистам компании «Доктор Веб» удалось перенаправить трафик ботнета на собственные серверы и подсчитать количество инфицированных узлов.
Итак, на 4 апреля в бот-сети действует более 550 000 инфицированных компьютеров, работающих под управлением операционной системы Mac OS X. Учитывается только часть ботнета, использующая конкретную модификацию Flashback, то есть BackDoor.Flashback.39. Большая часть заражений приходится на долю США (56,6%, или 303449 инфицированных узлов), на втором месте находится Канада (19,8%, или 106379 инфицированных компьютеров), третье место занимает Великобритания (12,8%, или 68577 случаев заражения), на четвёртой позиции — Австралия с показателем 6,1% (32527 инфицированных узлов).
Что интересно, 274 узла бот-сети находятся в городке Купертино, где располагается штаб-квартира Apple, головной офис и место жительства большинства сотрудников компании.
