Het Trojaanse paard dat zich via een lek in Java verspreidt heeft meer dan 600.000 Macs geïnfecteerd. Dat meldt Sorokin Ivan het Russische anti-virusbedrijf DrWeb op Twitter. Het gaat om de Flashback Trojan die al geruime tijd actief is. De bende achter de malware begon een aantal maanden geleden met het misbruiken van Java-lekken die Mac-gebruikers niet gepatcht hadden. Vanaf 16 maart werd er echter een lek gebruikt waarvoor Apple nog geen update had uitgebracht. Deze kwetsbaarheid werd door Oracle, eigenaar van Java, halverwege februari gepatcht. Apple wachtte zeven weken en kwam op 3 april met de noodzakelijke patch.
Om Mac-computers waarop Java is geïnstalleerd te infecteren, worden websites gehackt en voorzien van exploit-code. Deze exploit-code controleert de Java-versie en misbruikt vervolgens een lek als dat aanwezig is. Via dat lek wordt de Flashback Trojan geïnstalleerd. Daarbij wordt er niet om een wachtwoord gevraagd, wat betekent dat de malware zich geruisloos op de computer nestelt.
Infecties
Java-applets waardoor de malware zich verspreidt, hebben niet te maken met Mac OS X's quarantaine systeem. Dat betekent dat Mac-gebruikers geen waarschuwingsvenster krijgen als een Java-applet als object van een webpagina wordt gedownload. Hierdoor weet de malware ook Apple's ingebouwde virusscanner Xprotect te omzeilen, aangezien die geen objecten in webpagina's scant. De exploitcode die Mac-gebruikers infecteert zou op meer dan vier miljoen gehackte webpagina's zijn aangetroffen.
De meeste besmette Macs bevinden zich in de Verenigde Staten, waarbij er 274 bots in Cupertino zijn gelokaliseerd. De stad waar het Apple hoofdkantoor zich bevindt. In eerste instantie rapporteerde DrWeb dat er 550.000 machines besmet waren, waarvan 0,2% zich in Nederland bevinden, wat op 1.100 machines uitkomt.
Update 10:20
Hoewel er twijfels over de cijfers van DrWeb zijn, is het belangrijkste volgens beveiligingsexpert Adrian Sanabria dat Mac-gebruikers met een vals gevoel van veiligheid zijn opgezadeld. "Apple's marketing is tenminste deels hiervoor verantwoordelijk." F-Secure heeft op deze pagina instructies staan hoe de malware te verwijderen is.
Update 15:13
Er schijnt verwarring over de functie van de malware te zijn. Volgens Ivan is het de Flashback Trojan niet te doen om het stelen van wachtwoorden, zoals beveiligingsbedrijf Intego beweert, maar is de malware ontwikkeld om zoekverkeer te kapen.
Update 16:26
De Flashback Trojan gebruikt het MAC-adres van besmette computers als user-agent als er met de Command & Control-server verbinding wordt gemaakt. Naar alle waarschijnlijkheid heeft Dr.Web deze adressen geteld. "De cijfers lijken echt", aldus Mikko Hypponen van het Finse F-Secure. Volgens de Fin zijn er zo'n 45 miljoen Macs in omloop, wat betekent dat 1,3% van de totale Mac-populatie is geïnfecteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.