Kaspersky Lab Alexander Gostev

Flashfake ve Flashback Botnet 600 binden fazla Mac OS X bilgisayara bulaştı!

Güvenli içerik ve tehdit yönetimi çözümleri lideri Kaspersky Lab uzmanları, son dönemde ortaya çıkan Flashfake isimli dünya genelinde 600,000’den fazla bilgisayara bulaşmış olan botnet’i incelemeye aldı ve virüsten etkilenen bilgisayarların %98’inden fazlasının Mac OS X kullandığını ortaya koydu.

 

Flashfake botnet’in arkasındaki siber suçlular, kurbanların bilgisayarlarına bulaşmak için Java içerisindeki zayıf noktalardan faydalanarak, kullanıcıların bilgisayarlarına giriş imkanı sağlayan Flashfake Trojan’ını yüklüyor. Kaspersky Lab uzmanları, Botnet’i analiz etmek için Flashfake zararlı yazılımını tersine inceledi ve botnet’in kullanımında kontrol ve yönetim sunucusu olarak siber suçlular tarafından kullanılabilecek olan birkaç alan adı kaydetti. Bu yöntem, virüsün bulaştığı bilgisayarlar ile diğer C&C sunucuları arasında gerçekleşen iletişimi kesme ve analiz etme imkanı sundu.

 

Analizler sonucunda A.B.D. (300,917 virüslü cihaz), Kanada (94,625), İngiltere (47,109) ve Avustralya (41,600) başta olmak üzere toplam 600 binden fazla sayıda virüslü cihaz bulundu. Sezgisel bir “OS parmak izi tanımlaması” metodu ile Kaspersky Lab araştırmacıları, virüsün bulunduğu bilgisayarların hangi işletim sistemlerini kullandığını ölçme imkanı elde etti ve %98’inin Mac OS X kullandığı ortaya çıktı. Flashfake bot’un çalıştığı geri kalan %2’lik kısmın da Mac olduğu ihtimali tahmin ediliyor.

 

Flashfake nedir, ne kadar tehlikeli

 

İlk kez Eylül 2011’de ortaya çıkan Flashfake, OS X zararlı yazılım ailesidir. Zararlı yazılımların daha önceki çeşitlerinin amacı siber suçluların, sosyal mühendislik teknikleri ile kullanıcıların, zararlı yazılımları bilgisayarlarına indirmelerini ve kurmalarını sağlamaktı. Ancak, Flashfake’in bu son sürümü herhangi bir kullanıcı kontrolü gerektirmiyor ve Java zaaflarından faydalanarak kullanıcıların bilgisayarlarına direkt olarak yüklenme imkanı verecek şekilde zararlı yazılımın bulaştığı web sitelerinin ziyaret edilmesi yolu ile gerçekleşiyor. Bulaştıktan sonra, Trojan, bir “tıklama dolandırıcılığı” yapılmasına imkan verecek şekilde, kurbanların web tarayıcıları içerisindeki arama sonuçlarını çalan bir ekstra yükleme gerçekleştiriyor.

 

Şu ana kadar, Trojan’ın farklı herhangi bir zararlı aktivitesi bulunmamış olmasına rağmen zararlı yazılım, Flashfake’in arkasındaki siber suçluların kolayca, şifre ve kredi kartı bilgileri gibi gizli bilgileri çalma yeterliliğine sahip yeni ve güncel zararlı yazılımlar yayınlayıp; virüs bulaşmış bilgisayarlara kolayca yükleyebilecek olmalarından dolayı, risk hala yüksek.

 

Apple neden geç kaldı...

 

Oracle, üç ay önce bu açığa karşı bir yama yayınlamış olmasına rağmen, Apple, kullanıcı tabanına bir güvenlik güncellemesi göndermek konusunda, 2 Nisan tarihine kadar, yaklaşık üç aylık bir gecikme yaşadı. Son güvenlik çözümlerini yüklememiş olan kullanıcıların, virüsten korunmak adına, güncellemeyi hemen indirip kurmaları gerekiyor.

 

Kaspersky Lab Kıdemli Güvenlik Uzmanı Alexander Gostev  “Güvenlik güncellemesini yayınlamadaki üç aylık gecikme, Apple adına kötü bir seçimdi. Bunun birkaç sebebi var. İlk olarak Apple, Oracle’a Java’yı Mac için güncelleme imkanı vermiyor. Bunu kendileri yapıyorlar ve genellikle birkaç ay sonrasında gerçekleştiriyorlar. Bu durum Mac kullanıcılarının, PC kullanıcılarından çok daha uzun süre buna maruz kalması anlamına geliyor. Bu özellikle Apple’ın standart Antivirüs güncellemesi, sadece tehdit yeterince büyük olduğunda, yeni imzaları yükleyen ilkel bir program olmasından dolayı kötü bir haber. Apple, bu Java zaafını üç aydır biliyordu ancak bu süre boyunca bir güncelleme yayınlamayı gözardı etti. Problem daha da kötü bir hale getirildi, çünkü bugüne kadar Apple, ‘zararlı yazılımı olmayan’ gibi efsanevi bir üne sahipti. Pek çok kullanıcı, bilgisayarlarına zararlı yazılım bulaşıp bulaşmadığından ya da Mac güvenliğine gerçek bir tehdit olup olmadığından habersiz” dedi.

 

Kaspersky Lab Mac OS X kullanıcılarına, Apple üzerinden son güvenlik güncellemelerini yüklemelerini tavsiye ediyor. Kullanıcılar, Flashfake botnet hakkında daha fazla bilgi ve Kaspersky Lab uzmanı Igor Soumenkov tarafından yazılmış en son analizleri incelemek için Securelist adresini ziyaret edilebilir.