El troyano diseñado para Mac, OSX/Flashback, se convierte en el más distribuido hasta la fecha

Desde que hace unos meses comenzamos a informar sobre Flashback, el troyano específicamente diseñado para Mac, nuestros técnicos de laboratorio han seguido investigándolo dadas sus características. De hecho, sigue estando en nuestro radar porque hemos visto cientos de miles de sistemas infectados que forman ya parte de una gran red de bots, y eso teniendo en consideración que lleva solo un año distribuyéndose.

Tuvimos un pico de infecciones que comenzó a hacerse notar en marzo de 2012, cuando esta amenaza se empezó a propagar gracias a una vulnerabilidad del intérprete de Java que incluye el sistema operativo de Apple. Durante los primeros días de abril, desplegamos un sistema de monitorización para que nos ayudara a entender el tamaño de la red de botnets que estaba formando. Justo un par de semanas después, a principios de mayo de 2012, el último servidor de centro de mando y control  (C&C) desde el que se gestionaba la red de ordenadores infectados desapareció. Desde entonces, podemos decir que esta red de botnets está efectivamente muerta.

La verdad es que decidimos investigar el troyano OSX/Flashback por varios motivos. Primero, porque utiliza técnicas novedosas para espiar a los usuarios cuando están navegando. Además, este ejemplar de malware también hace uso de múltiples métodos para conectar con sus centros de control (C&C) de manera redundante, generando nombres de dominio de forma dinámica y buscando hashtags en Twitter. Finalmente, la escalada de infecciones hizo este ejemplar bastante interesante, porque no había precedente de una red de botnets con tal cantidad de equipos Mac infectados.

En la investigación han participado varios equipos de ESET. En nuestra central en Bratislava un equipo creó el algoritmo de detección genérico para el bot, mientras que otros equipos localizados en Praga y en Montreal hicieron ingeniería inversa con el código de OSX.

Nuestro primer objetivo ha sido siempre la mitigación de la amenaza, y dada la magnitud de OSX/Flashback, necesitamos llevar a cabo dos tipos de actividades. Primero, informar a los usuarios para que pudiesen analizar sus sistemas y, en caso de encontrar infecciones, proceder a su limpieza. Segundo, necesitamos colaborar con otros investigadores de la industria de seguridad para registrar el mayor número posible de nombres de dominios aleatorios generados por el bot, impidiendo de esta manera que el dueño de la botnet enviase comandos a sistemas ya infectados.

Os dejamos el análisis técnico que nuestros compañeros de laboratorio han llevado a cabo.

Como vemos, las amenazas para Mac han dejado de ser algo anecdótico para pasar a ser un riesgo real. Con más de 600.000 sistemas infectados, Flashback ha demostrado que es perfectamente posible portar el malware que estamos acostumbrados a ver en Windows a Mac con buenos resultados. Por eso es necesario que tanto los usuarios como la propia Apple tomen medidas ahora que aún están a tiempo para protegerse proactivamente y evitar más infecciones de este tipo.

Yolanda Ruiz Hervás
@yolandaruiz

La revolución islamista también se hace en Internet