Sicherheit

Zahl der Flashback-Infektionen geht zurück

von - 21.04.2012
Zahl der Flashback-Infektionen geht zurück
Anfang April waren es rund 700.000 infizierte Rechner, jetzt sind es weniger als 100.000. Java-Updates und Lösch-Tools haben zur Reduzierung beigetragen. Doch Systeme ohne Update sind gefährdet.
Es hat einige Zeit gedauert, bis alle Mac-Benutzer etwas vom Flashback-Angriff mitbekommen haben. Möglicherweise herrscht hier immer noch die Illusion, im Vergleich zu den Windows-Nutzern ein besonders sicheres Betriebssystem zu besitzen. Mit der zunehmenden Verbreitung von Mac-Rechnern wird allerdings auch diese Plattform für Kriminelle immer interessanter. Mit der neuen Situation scheinen aber nicht nur die Mac-Anwender, sondern auch Apple nicht richtig umgehen zu können.
Nachdem die gefährliche Variante des Flashback-Trojaners Ende März / Anfang April entdeckt worden war, hatte der Mac-Entwickler Juan Leon schon wenige Tage später ein Tool erstellt, mit dem sich eine Infektion feststellen ließ. Apple brauchte bis zum 16. April für ein Tool, mit dem man den Trojaner auch entfernen konnte. Ein paar Tage vorher hatte Apple ein Java-Update für Mac OS X 10.7.3 und Mac OS X 10.6.8 veröffentlicht, mit dem die Sicherheitslücke gestopft wurde. Ältere Systemversionen sind weiter gefährdet, wenn der Benutzer Java in zwischen nicht deaktiviert hat. Apple muss sich vorwerfen lassen, die bekannten Java-Sicherheitslücken viel zu spät geschlossen zu haben. Teilweise wurden Java-Updates für Mac OS X von Apple erst zwei Monate nach den Updates Oracle ausgeliefert.

Analyse der Flashback-Trojaners

Inzwischen hat Kaspersky Lab den Flashback-Trojaner genauer analysiert. Die Infektion mit den frühen Varianten von Flashback beziehungsweise Flashfake erfolgte per Social Engineering. Besucher von Webseiten wurden aufgefordert, ein angebliches Flash-Player-Update zu installieren - daher auch der Name. Ab März 2012 verbreitete sich Flashback dann vor allem über gehackte Wordpress-Blogs. Einige Quellen berichten von 30.000 kompromittierten Sites, andere von mehr als 100.000. Besucher der Sites wurde per Script auf Domains umgeleitet, über die dann die eigentliche Infektion des Computers erfolgte. Dabei wurden mehrere Java-Sicherheitslücken ausgenutzt. Die Schadsoftware baut Verbindungen zu Command & Control Server (C&C) auf, von denen weitere Programm-Module nachgeladen werden können.
Der Flashback-Trojaner könnte im Prinzip beliebige Schadsoftware auf den Mac befördern und Benutzerdaten und Kennwörter ausspionieren. Von diesen Möglichkeiten mach er jedoch keinen Gebrauch. Bisher gibt es nur eine einzige bekannte Schadfunktion: Auf infizierten Rechnern werden Suchmaschinenergebnisse manipuliert und damit für die Hersteller des Trojaners Werbeeinnahmen generiert.
Verwandte Themen