Trojan colpisce oltre mezzo milione di Mac, disponibile update Java


Oltre 500mila Mac sarebbero stati infettati dal Trojan Flashback (la cifra sarebbe aggiornata da un post su Twitter di Mikko Hypponen), che consente ai pirati informatici di rubare dati personali sensibili, come password e account finanziari. Lo riferisce il sito di Doctor Web, azienda russa specialista nella messa a punto di sistemi antivirus. Il virus approfitta di una falla del software Java del browser Safari e riesce ad infettare i computer mimetizzandosi come estensione di Flash.

"Il vendor russo anti-virus Doctor Web ha condotto una ricerca per determinare la scala di diffusione del Trojan BackDoor.Flashback che infetta i computer con sistema operativo Mac OS X. Ora la botnet BackDoor.Flashback comprende più di 550 000 macchine infette, la maggior parte dei quali si trovano negli Stati Uniti e Canada. Questo ancora una volta smentisce le affermazioni da parte di alcuni esperti che non ci sono cyber-minacce per Mac OS X", si legge in un post sul blog di sicurezza.

I sistemi vengono infettati con BackDoor.Flashback.39 dopo che un utente viene reindirizzato a un sito fasullo di una risorsa compromessa o attraverso un sistema di distribuzione del traffico. Il codice JavaScript viene utilizzato per caricare una applet Java che contiene un exploit. Gli analisti di Doctor Web hanno scoperto un gran numero di siti web contenenti il codice del virus. Quelli scoperti di recente sono: godofwar3.rr.nu, ironmanvideo.rr.nu., killaoftime.rr.nu, gangstasparadise.rr.nu, mystreamvideo.rr.nu, bestustreamtv.rr.nu, ustreambesttv.rr.nu, ustreamtvonline.rr.nu, Ustream-tv.rr.nu e ustream.rr.nu.


Secondo alcune fonti, i collegamenti con più di quattro milioni di pagine web compromesse sono stati trovati su una serp Google alla fine di marzo. Inoltre, alcuni messaggi su forum degli utenti di Apple hanno  descritto i casi di infezione da parte di BackDoor.Flashback.39 durante la visita a dlink.com. Gli aggressori hanno iniziato ad utilizzare le vulnerabilità CVE-2011-3544 e CVE-2008-5353 per diffondere il malware nel febbraio 2012, e dopo il 16 marzo sono passati ad un altro exploit (CVE-2012-0507).

La vulnerabilità è stata chiusa da Apple solo il 3 aprile 2012. Apple ha rilasciato infatti un aggiornamento di sicurezza Java per OS X Lion 2012-001 e Java per Mac OS X 10.6 Update 7, ma gli utenti che non hanno installato la patch rimangono esposti. Esistono diverse vulnerabilità in Java 1.6.0_29, la più grave delle quali potrebbe consentire ad un applet Java non attendibile di eseguire codice arbitrario al di fuori della sandbox Java. Ciò si traduce nella possibilità per il malware di installarsi nel sistema senza richiedere alcuna convalida da parte dell’utente.

Visitando una pagina web contenente una pericolosa applet Java non attendibile può portare all'esecuzione di codice arbitrario con i privilegi dell'utente corrente. Questi problemi vengono risolti con l'aggiornamento alla versione 1.6.0_31 di Java. Ulteriori informazioni sono disponibili sul sito web Java http://www.oracle.com/technetwork/java/javase/releasenotes-136954.html. Flashback è stato identificato nei mesi scorsi, quando gli esperti di F-Secure hanno scovato il software mascherato come un aggiornamento di Flash Player. Una volta scaricato, disattivava il software di sicurezza dei Mac.

1 commento:

  1. nella giornata del 25/04/12 entrando nell'account di poste italiane è comparsa una finestra che invitava ad eseguire le operazioni classiche con lettore e bancoposta (di solito usate per eseguire pagamenti on line dall'interno del proprio account. Un avviso nella finestra invitava ad eseguire l'operazione a causa del "cambiamento del sistema bancario di poste italiane", pena l'impossibilità di continuare ad utilizzare bancoposta on-line. In realtà si trattava del completamento di un versamento a carta prepagata postapay. La frode è grave perchè nella finestra (dei pagamenti con lettore bancoposta) è già inserito i numero della carta bancoposta e inserendo unicamente il codice generato dal lettore viene automaticamente acconsentito il pagamento. L'operazione di inserimento dati beneficiario è stata quindi inserita anteriormente dal malintenzionato e il virus/malware invita unicamente la vittima a completare l'operazione. Accortomi del versamento illecito, oltre ad aver denunciato il fatto alla polizia postale, ho effettuato una scansione con l'avast: è stato rilevato il win32:Zbot-OHC [trj] e il Java:CVE-2011-3544-F [Expl]. Ho Windows ed utilizzo explorer. Segnalo l'allerta e chiedo se sia ancora a rischio il mio contocorrente on line (cambiata stamattina la password).

    RispondiElimina