Ataque Flashback começou com sites do WordPress infectados

Segundo revelação de pesquisadores, o botnet Flashback que afetou os dispositivos Mac, originou-se em blogs WordPress com malware.

Houve entre 30 mil e cem mil sites WordPress infectados no final de fevereiro e começo de março. 85% nos Estados Unidos, afirmou Vicente Diaz, analistas sênior de segurança da Kaspersky Lab.

Os pesquisadores disseram que os sites eram fraudados com códigos que direcionavam visitantes para um servidores malicioso. “Quando a conexão era feita para o servidor malicioso, esse servidor determinava qual SO era executado e o explorava de acordo”, afirmou Roel Schouwenberg, pesquisador sênior da Kaspersky. Era um esquema pay-per-install para espalhar malware, incluindo o Flashback Trojan.

A maioria dos pesquisadores diz que há um declínio gradual em equipamentos infectados pelo troia: no dia 18 de abril, havia 140 mil Macs infectados, segundo a Symantec, e a Kaspesky afirma que só observou cerca de 30,6 mil bots infectados com Flashback em seu funil.

Mas ainda é possível que o Flashback volte, com servidores command-and-control enviando atualizações para seus bots. “Estamos observando os domínios comand-and-control usados para controlar qualquer atualização e botnet… Não vimos nenhuma atualização ser entregue”, afirmou Lyam O Murchu, gerente de operações para a Symantec Security Response. “O Flashback gera novos domínios todos os dias, o que nos mostra que os invasores provavelmente escreveram códigos maliciosos anteriormente. Eles sabem que seu botnet pode ser derrubado com um único domínio, então geram um novo por dia”.

O Flashback pode ser o maior botnet conhecido feito para computadores Macintosh e a infecção em massa – principalmente nos Estados Unidos – parece que marcou o começo do final da era da inocência para os usuários de produtos da Apple. Apesar de ataques ao Mac não serem novidade, esse foi grande.

No começo desse mês, houve um burburinho que um botnet maçico de equipamentos Mac OS X tinha sido construído e atingido mais de 700 mil equipamentos antes que os fornecedores de antivírus, incluindo a Kaspersky Lab, F-Secure e Symantec realizassem a detecção e criassem ferramentas de remoção. A Apple emitiu uma atualização para corrigir a vulnerabilidade. O malware Flashback explora uma conhecida vulnerabilidade no Java que já havia sido corrigida pela Apple.

Sua atualização para OS X Lion e Mac OS X v10.6 corrige a falha na implementação Java e remove o Flashback, e a empresa também forneceu uma atualização para o OS X Lion que remove o malware quando os computadores não executam o Java.

Diaz, da Kaspersky, afirma que a maior queda de infecções veio após a atualização da Apple. A empresa foi criticada pela demora a uma resposta para a falha.

Segundo Murchu, a Symantec não viu os sites WordPress infectados usando o ataque Flashback, mas viu os redirecionamentos para os domínios tróia e consequentemente a propagação do malware. “Não sabemos como começou a infecção – se foi no WordPress (ou em outro lugar), mas os usuários eram redirecionados para páginas de exploração distribuindo Flashback”.

Murchu diz que os invasores por trás do Flashback demonstraram as mesmas habilidades daqueles têm como alvo o Windows – uma indicação de que a mudança para Mac OS X é apenas outro decisão de negócios dos cibercriminosos que procuram por mais maneira de ganhar dinheiro conforme o uso do Mac aumenta.

Tradução: Alba Milena, especial para o IT Web | Revisão: Thaís Sabatini