ЛК: В ботнет Flashfake входит 600 000 Mac систем

Эксперты «Лаборатории Касперского» провели исследование, в ходе которого было подсчитано количество машин, входящих в состав ботнета Flashfake. Вирус Flashfake поражает устройства на базе операционной системы Mac OS X и позволяет владельцам вредоносной программы собирать конфиденциальную информацию пользователя.

Распространение вируса осуществляется через вредоносные web-сайты, содержащие поддельные Java-апплеты, которые выдают себя за обновление Adobe Flash Player. При запуске Java-апплет выполняет загрузчик, который устанавливает компонент дроппера, постоянно осуществляющего соединение с командным сервером и ожидающего команды на загрузку и выполнение дополнительных компонентов.

Таким образом, злоумышленники способны собирать с ботов любую информацию, а также использовать их для осуществления DDoS-атак, или для создания proxy сетей.

Для соединения с командными серверами бот использует доменные имена, генерируемые с помощью двух алгоритмов. Первый алгоритм основан на текущей дате, а второй применяет несколько переменных, хранимых в теле программы в зашифрованном виде. В качестве ключа к шифру используется UUID (уникальный идентификатор компьютера).

Исследователи провели reverse-инжиниринг первого алгоритма генерации доменов и, руководствуясь датой исследования, сгенерировали и зарегистрировали доменное имя krymbrjasnof.com. Это дало экспертам ЛК возможность вести журнал обращений зараженных систем, которые при подключении использовали UUID. В течение 24 часов было зафиксировано свыше 600 000 уникальных хостов, использующих более чем 620 000 внешних IP адресов.

Специалисты ЛК предоставили сводную таблицу географического расположения ботнета Flashfake

С уведомлением ЛК можно ознакомиться здесь.