Il virus Flashback che è in realtà un trojan, da quando è stato scoperto ha infettato oltre 600mila computer Mac nel mondo, sembra essere nato su una serie di blog WordPress, e a cominciato a diffondersi soprattutto negli USA e in Canada e poi in tutto il mondo.
Secondo gli esperti di sicurezza il virus era iniziato come un trojan nascosto all’interno di un falso aggiornamento del software Adobe Flash.
Nel mese di marzo, tuttavia, i creatori del malware hanno cambiato il virus rendendolo trasmissibile tramite molti blog infetti, infatti decine di migliaia di siti WordPress sono stati compromessi, ma come questo passaggio sia accaduto non è ancora chiarito. Le teorie principali sono che i blogger abbiano utilizzato una versione vulnerabile di WordPress.
La Apple ha rilasciato un aggiornamento del sistema all’inizio di aprile che mette mano a una vulnerabilità Java e rimosso i danni più comuni del virus Flashback. Ma a fine aprile ancora più di 140mila Mac erano infettati con il virus, che è in grado di intercettare dati privati e di trasmetterli senza che ce ne si accorga.
Mike Geide, un ricercatore di sicurezza di ZScaler ha detto che “il virus dovrebbe essere un campanello d’allarme per coloro che ancora pensano che il loro Mac è invulnerabile agli attacchi come questo, le minacce esistono, e aumenteranno in futuro”. I Mac sono stati particolarmente colpiti da questo attacco a causa di una vulnerabilità nella versione Apple di Java tramite il browser Safari. Eppure, mentre Oracle ha patchato il problema con Java mesi fa, Apple ha affrontato il problema solo ad aprile, quando ha rilasciato una patch per la vulnerabilità. Ha poi rilasciato una seconda patch il 5 aprile.
Secondo le ultime notizie, Flashback avrebbe usato anche Twitter per continuare a far danni, e sarebbe addirittura in grado di aggiornarsi cercando così di sfuggire agli antivirus. Potrebbe quindi non essere sufficiente rimuoverlo manualmente come suggerito da alcune guide.
Interessanti le motivazioni economiche degli hacker, il trojan infatti oltre a poter carpire dati personali, era in grado di impostare network pubblicitari differenti da Google Adwords e quindi guadagnano sui click degli utenti inconsapevoli, con il rischio anche di finire su siti sospetti.
Per migliorare la sicurezza Mac, in futuro, Geide raccomanda agli utenti di mantenere le versioni aggiornate di Java e di installare un antivirus, che dovrebbe anche ripulire tutti i Mac che sono stati infettati.
Aggiornamento, forse scoperto l’autore
Il virus Flashback che al suo apice nell’aprile 2012 ha infettato 650mila computer Apple, sarebbe stato sviluppato da un trentenne russo, Maxim Dmitrievich Selihanovich, secondo le ricerche dell’esperto di sicurezza e investigatore digitale Brian Krebs.
Selihanovich è stato smascherato dal ricercatore più di un anno dopo che il malware è stato scoperto dalla F-Secure Labs.
Il Trojan Flashback è ad oggi il più avanzato malware di maggior successo su Mac OS X mai scoperto, è ancora oggi sta interessando quasi 40000 Mac, nonostante la Apple abbia subito rilasciato un aggiornamento software per fermare la diffusione del worm. Flashback utilizzata una vulnerabilità nella versione Apple di Java ed è stato sufficientemente sofisticato per disattivare il programma di protezione malware incorporato in OS X, XProtect. Ed è in grado di riconoscere quando è eseguito in un ambiente virtuale, un trucco usato per sfuggire ai controlli dei ricercatori di virus nelel aziende antivirus.
Creatore di botnet Flashback per Mac, aggiungendo che si è specializzato nel trovare exploit e la creazione di bot.
Secondo il suo profilo Mavook è membro di BlackSEO dal 2005 e in precedenza ha avuto una home page registrata presso mavook.com. Utilizzando uno strumento online che mantiene un elenco storico delle registrazioni dei siti web, Krebs è stato in grado di scoprire che mavook.com è stato registrato da Maxim Selikhanovich a Saransk nella Russia centrale. Quindi al momento l’indagine di Krebs si basa principalmente sull’affermazione stessa di Mavook come creatore di Flashback, ma mancano altre prove più dirette.