近日,以Mac为攻击目标的木马Mac Flashback在安全业界引起了众多关注。4月4日,就有众多关于这一恶意软件导致超过500,000例感染的新闻。迈克菲实验室最近还检测到该恶意软件的一个新变种。这不足为奇,因为只要一款恶意软件或一种攻击能够得逞,我们就注定会遇到大量此恶意软件或此类攻击的模仿版和变种。
另外,有一个需要大家注意的地方就是,这是一个木马程序,与病毒不同。木马不会自我复制,主要通过人工方式传播,因此木马制造者通常会以有益或必需为幌子诱使人们安装。最常见的安装方法往往涉及系统或安全漏洞,或者是毫无戒心的用户无意间执行了未知程序。传播途径通常包括电子邮件、恶意网页、互联网延时聊天、P2P网络等。至本文撰写时,该木马主要的攻击目标是与CVE-2012-0507漏洞相关的存在漏洞的Java插件。当用户访问遭到攻击的页面时,该变种通常会使用iframe标记,将用户重定向到恶意站点,并由此实施由恶意Java applet触发的实际攻击。
OSX/Flashfake(正式检测名)是通过利用CVE-2012-0507漏洞的恶意Java applet来投放的。一旦执行,该恶意软件会提示中招的用户输入管理员密码。无论受害者是否输入密码,该恶意软件都会尝试感染系统,输入密码只不过是改变感染方法而已。
该木马程序可能以 PKG 文件(comadobefp.pkg)的形式出现,并伪装为 Flash Player 安装程序(如下所示):
它会提示用户输入管理权限信息:
一旦恶意数据包成功安装,就会尝试连接其远程站点以下载必要的配置文件:
该恶意软件的另一大显著特点是能够检查目标系统中是否安装了防火墙。如果发现防火墙,它会删除安装。(其他版本的Flashback是通过利用sinkhole的漏洞来投放的。)
受感染的用户会在毫不知情的情况下载各类假冒AV的数据包。为了避免遭此厄运,务必确保您的系统得到及时更新并且运行了最新的安全软件,使用浏览器插件来拦截脚本和 iframe 的执行,并使用安全上网插件帮助您规避有害或可疑网站。(作者为迈克菲实验室安全研究主任David Marcus)