'Flashback Trojan steelt wachtwoorden en kaapt zoekverkeer'
De Flashback Trojan, de malware die inmiddels maar liefst 600.000 Mac's besmet heeft, steelt niet alleen wachtwoorden, maar kaapt ook het zoekverkeer van gebruikers.
Dit zegt Guillaume Lovet, senior manager van het Threat Response-team van het FortiGuard Lab, in een interview met Security.nl. De trojan maakt gebruik van een Command & Control-server, die hackers allerlei opdrachten kunnen laten uitvoeren. Lovet stelt dat de hackers zich tot nu toe op twee onderwerpen hebben gericht: het kapen van zoekverkeer en het sniffen of analyseren van dataverkeer.
Russische hackers
Het botnet zou in handen zijn van Russische hackers. De malware zou maar liefst 600.000 Macs besmet hebben, wat betekent dat maar liefst één procent van alle Macs wereldwijd geïnfecteerd zijn. Lovet stelt dat dit zelfs voor Windows-malware veel is. De cybercriminelen zouden een grote hoeveelheid websites hebben gehackt en door laten verwijzen naar een exemplaar van de trojan. Lovet spreekt zelfs over miljoenen.
Ook stelt Lovet dat dat 100 procent van de Java-gebruikers die de gehackte websites hebben bezocht geïnfecteerd zijn met het virus. Dit betekent dat ook gebruikers die hun systeem volledig up-to-date hebben gehouden kwetsbaar zijn geweest.
Update
Apple dichtte vorige week het lek met een update voor Java. De update verscheen maar liefst zeven weken nadat Oracle dezelfde update voor Windows en Linux vrijgaf. De senior manager van FortiGuard Lab stelt Apple hiermee veel te laat was en steken heeft laten vallen.
Ben jij besmet?
Hoe kan je nou eigenlijk uitvinden of jouw Mac besmet is met de trojan? F-Secure heeft een handleiding gemaakt waarmee je dit kunt uittesten.
1. Voer de volgende opdracht in in de Terminal:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2. Noteer de waarde die je bij DYLD_INSERT_LIBRARIES kunt aflezen
3. Ga verder naar stap 8 als je de volgende foutmelding krijgt:
"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"
Krijg je deze foutmelding niet? Kijk dan op de website van F-Secure.
8. Voer de volgende opdracht in in de Terminal:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
9. Noteer de resultaten van de opdracht. Het systeem is niet besmet met de malware als je de volgende foutmelding krijgt:
"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"
Krijg jij deze foutmeldingen niet? Dan ben je waarschijnlijk besmet met de Flashback Trojan. F-Secure helpt je op zijn website bij het verwijderen van de trojan.
Meer aanvallen
Lovet waarschuwt dat we in de toekomst veel meer van dit soort aanvallen kunnen verwachten. Het marktaandeel van Macs ligt inmiddels op ruim 10% wereldwijd, waardoor de machines een steeds interessanter doelwit worden voor hackers. Lovet stelt dat Apple zich actiever moet inzetten om gebruikers hiervoor te waarschuwen.