Mac-skadevare med Twitter-hjelp

Mac-skadevare med Twitter-hjelp

Den nyeste varianten av skadevaren Flashback for Mac prøver å installere seg selv etter besøk på infisert nettsted.

Skadevare på Mac er et sjeldent syn i forhold til på Windows eller Android. Noe av årsaken er at det er færre Mac-er enn pc-er ute i verden.

Det lønner seg bedre å skrive skadevare for Windows enn for Mac. Men som i forretningsverden kan det lønne seg å satse på nisjemarkeder hvor konkurransen er mindre.

Skadevaren Flashback er et av få skadevareprogrammer som har klart å infisere Mac-er. Nå har e-skurkene endret måten programvaren installeres, melder Computerworlds nyhetstjeneste.

Innovative mørkemenn

Skadevaren Flashback er utviklet for Mac, og har som oppgave å stjele passord fra nettsteder du besøker, inkludert nettjenester innen bank- og finans.

Utviklerne av Flashback er nokså innovative. Den første Flashback-versjonen utgav seg for å være Adobes Flash Player, og lurte mange Mac-brukere til å installere skadevaren.

Versjon nummer to er litt mer teknisk imponerende, og utnytter to hull i Java. Om Mac-en kjører den sårbare Java-versjonen blir skadevaren automatisk installert. Dersom sårbarhetene ikke blir funnet presenterer skadevaren seg som en Apple-oppdatering.

Det kan være lett å la seg lure, for den falske oppdateringen ser ut som ekte vare, og er signert med et falskt sikkerhetssertifikat.

Drive-by download

Versjon 2 av Flashback benytter seg av drive-by download, som vil si at skadevaren prøver å installere seg selv når bruker besøker et infisert nettsted. Ofte kan det være nok å bare være innom det infiserte nettstedet for å bli sittende med skadevare på maskinen.

Drive-by brukes ofte for å spre skadevare på Windows, og krever sjeldent at brukeren tar aktive steg for å fullføre installasjon av skadevare.

Mac-folket må derimot gjøre en liten innsats selv for å få skadevaren installert på maskinen. Flashback.N, som det siste tilskuddet i Flashback-familien heter, presenterer en "Software Update" dialogboks og spør om passord.

Går du i fella, og taster inn passordet blir skadevaren installert i form av en tilleggsmodul for Safari. Etter installasjonen setter Flashback i gang med å sniffe nettrafikk og passord.

Får instruksjon på Twitter

Sikkerhetsselskapet Intego, som først oppdaget Flashback.N, har funnet ut at skadevaren bruker det sosiale mediet Twitter som kommandosentral. Dette er en teknikk som tidligere har vært brukt av forskjellige botnet.

Skadevaren sjekker Twitter for meldinger med 12 tilsynelatende tilfeldige bokstaver og tall, ifølge en bloggpost fra sikkerhetsselskapet.

Twitter-meldingene er i realiteten instruksjoner for skadevaren, og er beskyttet av 128-bits RC4 kryptering. Flashback dekrypterer instruksjonene, og holder seg på denne måten oppdatert.

E-skurkene som står bak skadevaren benytter heller ikke en spesiell Twitter-konto i forbindelse med skadevaren, men bruker forskjellige hashtags.

Intego har klart å bryte krypteringen, og har publisert sine funn i en bloggpost .

Les om:

Sikkerhet