OSX/Flashback je zdaleka nejrozšířenější malware, který se kdy objevil na systému Mac. Během šetření zaregistroval ESET stovky tisíc infikovaných počítačů, které dohromady vytvořily obrovský botnet. K prvnímu zjištění této hrozby došlo v září 2011.
„Opravdová epidemie nastala v březnu 2012, kdy hrozba začala využívat zranitelnosti překladače Java dodávaného spolu s Apple OS X. Počátkem dubna jsme nasadili monitorovací systémy, abychom mohli změřit celkový rozsah infekce. Několik týdnů poté, na začátku května, byl odpojen poslední ovládací server botnetu. Od té doby můžeme považovat hrozbu za mrtvou,“ říká Pierre-Marc Bureau, výzkumník firmy ESET.
ESET se rozhodl analyzovat malware OSX/Flashback z několika důvodů. Hrozba totiž používala nové techniky ke sledování uživatelů, kteří si prohlížejí webové stránky. Navíc také využívala hned několik metod připojení k ovládacímu serveru včetně dynamicky generovaných doménových jmen a vyhledávání hashtagů na Twitteru. Sám o sobě je zajímavý i nebývalý rozsah infekce, protože velikost botnetu čítající několik stovek tisíc infikovaných počítačů Mac, nemá zatím obdoby.
„Do výzkumu se zapojilo několik týmů ESET. Tým v bratislavské centrále vytvořil pro tento bot generický detekční algoritmus, zatímco týmy v Praze a Montrealu zpětně analyzovaly kód OS X,“ vysvětluje Bureau.
Hlavním cílem ESETu je vždy zmírnění hrozeb, vzhledem k rozsahu OSX/Flashback. Nejprve bylo třeba o této hrozbě informovat uživatele, aby si sami mohli zkontrolovat a případně i vyčistit svůj systém. Následně ESET ve spolupráci s ostatními výrobci bezpečnostního softwaru zachytil maximum doménových adres vytvořených algoritmem domény botnetu, čímž zabránil těm, kdo ho řídili, odesílat příkazy k aktualizacím již infikovaných systémů.
Infografika zdůrazňuje pro lepší představu rozšíření hrozby Flashback Trojan statistiky v nejvíce postižených zemí a jasně ukazuje účinek přidání nové vrstvy ochrany pro systém Mac OS X.