Trojan Flashback: cosa bisogna sapere (aggiornato)

7 aprile 2012 ore 10:40 | di | 16 commenti

Il 4 aprile, Dr. Web, una azienda russa che commercializza antivirus, ha stimato che oltre 600.000 Mac sono stati infettati da BackDoor.Flashback, una variante del cavallo di Troia Flashback individuato per la prima volta da Intego lo scorso settembre.

In tutto il mondo ci sono circa 45 milioni di Mac, quindi Flashback avrebbe infettato oltre l’1 per cento, diventando così il malware più diffuso per la piattaforma Macintosh. Tuttavia, tramite un messaggio pubblicato su Twitter, Aleks Gostov, un espero di sicurezza informatica che lavora per Kaspersky (un’altra società che vende antivirus), la stima di Dr. Web sarebbe errata perchè nel conteggio potrebbero essere finiti anche i PC-Windows.

Come si viene contagiati

Per essere infettati è necessario visitare un sito web appositamente modificato da un pirata informatico oppure un sito web contagiato che ospita Flashback. Il cavallo di Troia sfrutta una vulnerabilità di Java (se è abilitato sul proprio browser Web) per eseguire un comando arbitrario e installare una serie di componenti.  Dal momento che Apple ha rilasciato un aggiornamento Java per Snow Leopard e Lion per chiudere questa falla “solo” il 3 aprile, molti utenti potrebbero essere stati già infettati.

Dopo il contatto iniziale, Flashback apre una finestra di dialogo per cercare di ottenere la password amministratore del Mac della vittima, ma lo fa solo per radicarsi più profondamente nel sistema operativo. Arrivati a questo punto, anche se NON si digita la password, il Mac è infetto.

Falsfback K

Una volta che il Mac è stato infettato, Flashback analizza Safari per raccogliere informazioni sull’attività Web della vittima, rubando username e password che poi invia su un server remoto pirata.

L’aspetto più importante è che, a differenza di quasi tutti gli altri tipi di malware per Mac individuati fino adesso, Flashback può insinuarsi nel sistema operativo semplicemente visitando un sito infetto e se si utilizza una versione non aggiornata di Java. Non è necessario immettere la password di amministrazione o installare manualmente qualcosa. Questa tecnica di infezione si chiama “drive-by download”.

Sono a rischio?

Si è a rischio se si soddisfano tutti è quattro i seguenti criteri:

1. Sul proprio Mac è installato Java. I nuovi Mac con Lion pre-installato non includono Java. Chi ha acquistato un Mac con un sistema operativo pre-Lion può scoprire se ha Java digitando il seguente comando java -version nel Terminale (si trova in Applicazioni/Utility) e poi premendo Invio.

2. Sul proprio Mac non è istallata la versione 1.6.0_31 di Java (che è disponibile dal 3 aprile).

Terminale Java

3. Java è abilitato sul proprio browser Web. Se utilizzate Safari, è sufficiente andare in Preferenze/Sicurezza e controllare se l’opzione “Abilita Java” è spuntata (eventualmente si può anche disabilitare).

Java abilitato

4. Sul proprio Mac non sono installati strumenti di sicurezza come Xcode (freeware) di Apple, Little Snitch o un antivirus (leggere anche Flashback: il malware che si elimina da solo se l’utente è esperto).

Come verificare se si è già stati infettati

Apple ha rilasciato un aggiornamento Java per Lion e Snow Leopard per rimuovere il malware Flashback sui Mac con Java installato, ed anche uno Strumento di rimozione del Malware Flashback per i Mac con Lion senza Java.

F-Secure è stato il primo ad aver pubblicato le istruzioni per verificare se il proprio Mac è infetto, ma, prima che intervenisse Apple, era sicuramente più facile scaricare dal Mac App Store l’antivirus gratuito ClamXav 4.gif (incluso su alcune versioni Server di Mac OS X). Una volta lanciato ClamXav, cliccate sul pulsante più (+) in basso a sinistra, quindi selezionate il vostro hard disk (di default si chiama Macintosh HD) che verrà aggiunto alla barra laterale. Con l’hard disk evidenziato nella colonna laterale, premete il pulsante Start Scan sulla barra degli strumenti. Al termine della scansione saprete se site infetti.

Clamxav

Se il vostro Mac è stato contagiato, ClamXav mostrerà l’elenco dei malware trovati. Click con il tasto destro sul nome del malware e dal menu contestuale che appare scegliete la voce Delete File. Ripetete l’operazione per gli altri malware elencati e poi svuotate il Cestino del Finder.

Clamxav virus

Come proteggersi

Per proteggersi è sufficiente aver effettuato l’aggiornamento Java for OS X Lion 2012-001 oppure Java for Mac OS X 10.6 Update 7.

Aggiornamento del 14 aprile: sono state aggiunte le informazioni relative all’update di Java e all’utility rilasciati da Apple per rimuovere Flashback dai Mac su cui gira Snow Leopard e Lion.

Approfondimenti: , ,

Argomento: Mac

Commenti (16)

RSS commenti

  1. christian ha detto:

    ciao Stefano.
    per prima cosa… io uso ClamXav dalla prima volta che lo consigliasti e mi trovo benissimo, grazie.
    poi una domanda: potresti spiegarmi in che maniera X-Code può ostacolare il contagio?
    grazie mille.

  2. Stefano Donadio ha detto:

    Questo Trojan ha l’obiettivo di rimanere il più a lungo possibile nascosto. Al momento di installarsi verifica se sul Mac della vittima ci sono i seguenti software: Xcode, ClamXav, Little Snitch, Avast!, HTTPScoop e Packet Peeper. Se rileva una di queste applicazioni, anche se non attive (nel caso degli antivirus), non si installa.

    Per quanto riguarda Xcode, chi ha creato il Trojan ritiene che la presenza dell’ambiente di sviluppo Apple su un Mac stia ad indicare che l’utente è esperto, e quindi il rischio di essere “smascherato” è troppo alto.

  3. Alessandro ha detto:

    E Kaspersky per Mac è stato in grado di bloccare il malware in oggetto?

  4. Stefano Donadio ha detto:

    @ Alessandro: il Trojan non si installa proprio se trova i software elencati. Kaspersky non è tra questi, ma è in grado di rilevarlo (come del resto gli altri antivirus).

  5. Tonino ha detto:

    Scusate, io ho Leopard sul mio iMac. Ho usato anche il terminale per vedere la versione di Java che risulta essere la 1.5.0_30 – In Safari ho anche disabilitato Java. Volevo chiedere questo:

    1) Che altro posso fare oltre a quello che ho fatto?
    2) Che succede aver disabilitato java?
    3) Non posso collegarmi ad AppStore perchè ho Leopard e quindi dove posso scaricarmi ClamXav?

    Grazie.

  6. Cristina ha detto:

    Ma java se dopo lion non ce, mi consigli di disabilitarla? A cosa serve java?
    Grazie

  7. Cristina ha detto:

    Ma java se dopo lion non c’e, mi consigli di disabilitarla? A cosa serve java?
    Grazie

  8. Cristina ha detto:

    Ma se java se dopo lion non c’e e da dei problemi, mi consigli di disabilitarla? A cosa serve java?
    Grazie

  9. Andre ha detto:

    @Stefano Donadio
    Ciao ho installato java per OS X 2012 002
    java version “1.6.0_31” ok!

    però quello che voglio capire se devo lasciare la spunta su abilita java del menù sicurezza ?! e fare una piccola spiegazione ti ringrazio!

    Ciao

    • Stefano Donadio ha detto:

      L’aggiornamento Java per OS X 2012 002 chiude la falla per la quale era consigliato disabilitare Java. Anche se Apple ha deciso di non supportare più Flash e Java (sui nuovi Mac non sono pre-installati), forse è ancora presto per rinunciare ad entrambi.

  10. Andre ha detto:

    @Stefano Donadio
    quindi se ho aggiornata Java OS X 2012 002 posso abilitare Java dal menù sicurezza?!
    e dormire tranquillo la notte :))))
    anche se personalmente non ho installato nessun antivirus su mac
    dal 2007 ad oggi non ho avuto nessun tipo di problema!

    Grazie mille per i preziosi consigli !

    Ciao

  11. luciano ha detto:

    Ho scaricato ClamXav ed ha funzionato egregiamente. Solo che quando ha terminato non so come chiuderlo non essendoci il puntino rosso in alto a sinistra ma solo quello giallo e verde

  12. luciano ha detto:

    Si ci sono riuscito “quit ClamXav”

  13. Kalimer ha detto:

    Porca l’oca! Nonostante tutti i controlli che avevo fatto, dopo l’aggiornamento di Java di oggi è venuto fuori un messaggio che dice di aver trovato Flashback e di averlo rimosso! nel cestino c’è ora in effetti un Flashbackchecker 1.0.zip

  14. Erminio ha detto:

    Preannuncio che…sono utente Mac dall’inizio anni 90
    Ne ho viste di cotte e di crude, ma se c’è una cosa che non sopporto
    sono i pressapochisti chi da tutto per scontato, sono proprio quelli
    che rimangono fregati quando le cose si manifestano…

    Per anni ho visto gente “MacExpert” ridere in faccia ai nuovi utenti alla richiesta di programmi per la sicurezza, la risposta era sempre “ahahah ma di che ti preoccupi non eistono TROJAN e KEYLOGGER etc su Mac sei solo un paranoico” mentre bastava trovare i canali giusti per avere ottimi programmini virus trojan anche su Mac già 12-13 anni fa! certo non era facile inocularli.
    Dicevano che era impossibile entrare sul mac di un utente usando RemoteDesktop
    smentiti anche in quel caso, ho sempre odiato l’elite, quelli con la puzza sotto il naso sono sempre stati la fascia debole dell’utenza Mac.
    Ora leggo molto su Flashback e SabPub ma nesssuno dice mai cosa possono fare in sostanza e come agiscono.

    1-Mi chiedevo se esistesse un applicazione come Clam, Macscan etc che monitorasse in “automatico” ogni sito cookie e altri metodi di inoculazione
    insomma qualcosa che protegga nell’immediato invece che fare sca dopo.

    2-Clam trova tutti i tipi di trojan malwere etc come fa macscan? quale delle due app è la migliore?

    3-Sono paranoico e preferisco esserlo, dopo che anni fa mi sono trovato un interlocutore che tramite SimpleTex mi salutava ed elencava tutte le foto della mia ragazza presenti sul Mac…(avevo netbarrier e altri sistemi di protezione ancor aoggi mi chiedo come fece, dato che più o meno i metodi li conoscevo)
    Quindi dato che nuovamente pochi giorni fa mi sono trovato un file di testo
    con un messaggio strano, (anche se uso Little Snitch) mi chiedevo quali fossero i nuovi metodi per entrare e rovistare un Mac anche se protetto da Firewall software etc? vorrei tutelarmi al massimo

    4-cosa fanno di preciso Flashback e SabPub?

  15. Tonino ha detto:

    Ciao Stefano. Per la prima volta dal 1995 ho usato un antivirus per mac. Ho usato ClamXav come consigliato da te sul mio iMac con Snow Leopard. Mi ha trovato 7 virus che cominciavano con dei numeri a 5 cifre seguite da una estensione .emlx ( esempio: 12345.emlx ) e poi a destra c’era la scritta ” Heuristics.Phishing ). Li ho eliminati come da te descritto. Centra qualcosa il fatto che ho scaricato un file word di un curriculum europeo? Lo chiedo perchè dopo averlo aperto, aprendo la posta elettronica, mail mi chiedeva di mettere le password di tutti i miei account di posta elettronica ( cosa che però io non ho fatto, ho letto la posta dal mio iPhone ). Una coincidenza? E poi non mi era mai capitato che mi venissero richiesto le password dall’applicazione mail tutte insieme.

    Centra qualcosa la richiesta di queste password con i virus scoperti da ClamXav? E poi che virus sono e come avrei potuti contrarli? Mi scuso per le domande e ti ringrazio per eventuali risposte. Tonino

Aggiungi un commento