Il Flashback su Mac è un trojan: cos’è e come rimuoverlo

Il virus Flashback che è in realtà un trojan, da quando è stato scoperto ha infettato oltre 600mila computer Mac nel mondo, sembra essere nato su una serie di blog WordPress, e a cominciato a diffondersi soprattutto negli USA e in Canada e poi in tutto il mondo.

Secondo gli esperti di sicurezza il virus era iniziato come un trojan nascosto all’interno di un falso aggiornamento del software Adobe Flash.
Nel mese di marzo, tuttavia, i creatori del malware hanno cambiato il virus rendendolo trasmissibile tramite molti blog infetti, infatti decine di migliaia di siti WordPress sono stati compromessi, ma come questo passaggio sia accaduto non è ancora chiarito. Le teorie principali sono che i blogger abbiano utilizzato una versione vulnerabile di WordPress.

La Apple ha rilasciato un aggiornamento del sistema all’inizio di aprile che mette mano a una vulnerabilità Java e rimosso i danni più comuni del virus Flashback. Ma a fine aprile ancora più di 140mila Mac erano infettati con il virus, che è in grado di intercettare dati privati e di trasmetterli senza che ce ne si accorga.

Mike Geide, un ricercatore di sicurezza di ZScaler ha detto che “il virus dovrebbe essere un campanello d’allarme per coloro che ancora pensano che il loro Mac è invulnerabile agli attacchi come questo, le minacce esistono, e aumenteranno in futuro”. I Mac sono stati particolarmente colpiti da questo attacco a causa di una vulnerabilità nella versione Apple di Java tramite il browser Safari. Eppure, mentre Oracle ha patchato il problema con Java mesi fa, Apple ha affrontato il problema solo ad aprile, quando ha rilasciato una patch per la vulnerabilità. Ha poi rilasciato una seconda patch il 5 aprile.

Secondo le ultime notizie, Flashback avrebbe usato anche Twitter per continuare a far danni, e sarebbe addirittura in grado di aggiornarsi cercando così di sfuggire agli antivirus. Potrebbe quindi non essere sufficiente rimuoverlo manualmente come suggerito da alcune guide.

Interessanti le motivazioni economiche degli hacker, il trojan infatti oltre a poter carpire dati personali, era in grado di impostare network pubblicitari differenti da Google Adwords e quindi guadagnano sui click degli utenti inconsapevoli, con il rischio anche di finire su siti sospetti.

Per migliorare la sicurezza Mac, in futuro, Geide raccomanda agli utenti di mantenere le versioni aggiornate di Java e di installare un antivirus, che dovrebbe anche ripulire tutti i Mac che sono stati infettati.

Aggiornamento, forse scoperto l’autore

Il virus Flashback che al suo apice nell’aprile 2012 ha infettato 650mila computer Apple, sarebbe stato sviluppato da un trentenne russo, Maxim Dmitrievich Selihanovich, secondo le ricerche dell’esperto di sicurezza e investigatore digitale Brian Krebs.
Selihanovich è stato smascherato dal ricercatore più di un anno dopo che il malware è stato scoperto dalla  F-Secure Labs.

Il Trojan Flashback è ad oggi il più avanzato malware di maggior successo su Mac OS X mai scoperto, è ancora oggi sta interessando quasi 40000 Mac, nonostante la Apple abbia subito rilasciato un aggiornamento software per fermare la diffusione del worm. Flashback utilizzata una vulnerabilità nella versione Apple di Java ed è stato sufficientemente sofisticato per disattivare il programma di protezione malware incorporato in OS X, XProtect. Ed è in grado di riconoscere quando è eseguito in un ambiente virtuale, un trucco usato per sfuggire ai controlli dei ricercatori di virus nelel aziende antivirus.

Il malware si è presentato gli utenti Mac con un falso prompt di installazione di Flash Player, ed è stato utilizzato per reindirizzare gli utenti a un falso sito di Google che forniva risultati di ricerca per gli inserzionisti di terze parti che hanno pagato il creatore del malware. I ricercatori hanno stimato che il malware ha fatto guadagnare il suo creatore fino a 6000 dollari al giorno.L’indagine di Krebs si è concentrata inizialmente su un forum in lingua russa  dedicato alla cosiddetta “black hat SEO”, dove ha scoperto che la persona che sospettava della creazione del malware è stato un membro attivo e fondatore del forum. Krebs è riuscito a ottenere l’accesso a una chat privata tra utenti top del forum di cui uno con il nickname Mavook nelle sue note scriveva:
Creatore di botnet Flashback per Mac, aggiungendo che si è specializzato nel trovare exploit e la creazione di bot.

Secondo il suo profilo Mavook è membro di BlackSEO dal 2005 e in precedenza ha avuto una home page registrata presso mavook.com. Utilizzando uno strumento online che mantiene un elenco storico delle registrazioni dei siti web, Krebs è stato in grado di scoprire che mavook.com è stato registrato da Maxim Selikhanovich a Saransk nella Russia centrale. Quindi al momento l’indagine di Krebs si basa principalmente sull’affermazione stessa di Mavook come creatore di Flashback, ma mancano altre prove più dirette.

 

Conosci CleanMyMac? scopri la migliore soluzione per tenere in ordine il Mac!
scarica la versione free

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Torna in alto