Обнаружен новый ботнет из более чем 550 тысяч «маков»

Проведенное исследование компании «Доктор Веб» позволило оценить картину распространения троянца BackDoor.Flashback, который заражает компьютеры с операционной системой Mac OS X.

В настоящее время, по оценкам специалистов, в ботнете BackDoor.Flashback действует свыше 550 тысяч инфицированных компьютеров, большая часть из которых находится на территории США и Канады. Таким образом, заявления о том, что угроз для пользователей «маков» не существует, опровергнуто еще раз.

По словам экспертов компании, заражение BackDoor.Flashback.39 происходит с использованием инфицированных сайтов и промежуточных TDS (Traffic Direction System), которые направляют пользователей Mac OS X на вредоносный сайт, содержащих Java-скрипт, который загружает в браузер пользователя Java-апплет, а он в свою очередь содержит эксплойт.

По некоторой информации, на конец марта текущего года в выдаче Google присутствовало свыше 4 миллионов зараженных веб-страниц. Помимо этого, на форумах пользователей Apple сообщалось о случаях заражения троянцем BackDoor.Flashback.39 при посещении сайта dlink.com.

Начиная с февраля 2012 года злоумышленники начали использовать для распространения вредоносного ПО уязвимости CVE-2011-3544 и CVE-2008-5353, а после 16 марта они стали применять другой эксплойт (CVE-2012-0507). Исправление для данной уязвимости корпорация Apple выпустила только 3 апреля 2012 года.

Эксплойт сохраняет на жесткий диск инфицируемого «мака» исполняемый файл, который предназначен для скачивания полезной нагрузки с удаленных управляющих серверов и ее последующего запуска.

В настоящее время специалисты компании выявили 2 версии троянца: приблизительно с 1 апреля злоумышленники стали использовать модифицированный вариант BackDoor.Flashback.39. Как и ранее, после запуска вредоносная программа проверяет наличие на жестком диске компьютера следующих компонентов:
/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

В случае если указанные файлы обнаружить не удалось, троян формирует по определенному алгоритму список управляющих серверов, отсылает сообщение об успешной установке на созданный злоумышленниками сервер статистики и выполняет последовательный опрос командных центров.

Вредоносная программа использует довольно интересный механизм генерации адресов управляющих серверов, позволяющий в случае необходимости динамически перераспределять нагрузку между ними. Затем, получив ответ управляющего сервера, троян BackDoor.Flashback.39 проверяет переданное с командного центра сообщение на соответствие подписи RSA и, если эта проверка оказывается успешной, загружает и запускает на инфицированном компьютере полезную нагрузку, в качестве которой может выступать любой исполняемый файл, указанный в полученной троянцем директиве.

Каждый из ботов передает управляющему серверу в строке запроса уникальный идентификатор инфицированного компьютера. С использованием метода sinkhole специалистам компании удалось перенаправить трафик ботнета на собственные серверы, что позволило осуществить подсчет инфицированных узлов.

Для того чтобы обезопасить свои компьютеры от возможности проникновения троянца BackDoor.Flashback.39, специалисты «Доктор Веб» рекомендуют пользователям Mac OS X загрузить и установить предлагаемое корпорацией Apple обновление безопасности: support.apple.com/kb/HT5228.