Actos Lab

Mac-Wurm OSX.Flashback.K klickt auf Werbung

03.05.2012 Symantex hat den MacOS-Wurm OSX.Flashback.K genauer unter die Lupe genommen um die Malware besser verstehen zu können.






Die Infektion

Die letzte Variante OSX.Flashback.K hat die Oracle Java SE Remote Java Runtime Environment Code Execution Vulnerability (CVE-2012-0507) ausgenutzt. Diese war von Oracle bereits im Februar durch einen Patch geschlossen worden. Da Apples Patch jedoch erst 6 Wochen später kam, waren alle Macs für diesen Zeitraum angreifbar.

Nur durch diese lange Periode der Angreifbarkeit vonn sich OSX.Flashback.K auf so vielen Rechnern verbreiten. Die Virus-Autoren hackten dafür zunächst diverse auf Wordpress und Joomla basierende Websites und verbeiteten über diese den Schadecode. Die Einbindung erfolgte über diese zwei einfachen Zeilen Code:

So wurde der Schadcode in gehackte Wordpress und Joomla-Installationen eingebettet.
So wurde der Schadcode in gehackte Wordpress und Joomla-Installationen eingebettet.

Immer, wenn ein Surfer mit ungepatchtem Mac (was in den ersten 6 Wochen alle Mac-Nutzer waren!) eine solche Website besucht, wird OSX.Flashback.K installiert. Konkret läuft dieser Vorgang wie folgt ab:

  1. Ein Nutzer besucht eine infizierte Website.
  2. Der Browser wird zu einer speziellen Website weitergeleitet, die verschiedene Java-Exploits ausprobiert.
  3. CVE-2012-0507 wird genutzt um die initiale Komponenten von OSX.Flashback.K zu installieren
  4. Diese Initialversion läd verschiedene Komponenten (in diesem Fall einen Loader und einen Werbeklicker) nach.

Der Werbeklicker

Der Werbeklicker läd sich in Chrome, Firefox und Safari und überwacht alle GET und POST Requests der Browser. Dabei hat Flashback es besunders auf Suchanfragen bei Google, bzw. Klicks auf AdWords-Anzeigen innerhalb der Google-Suche, angesehen und leitet den Nutzer auf eine andere Seite weiter. Mit diesen Klick verdient der Autor Geld und Google verliert Werbeumsatz, der Klick auf die Anzeige nie bei Google ankommt.

Die Weiterleitungen erfolgen dabei über eine URL dieser Form:

http://[FLASHBACK_DOMAIN]/search?q=[QUERY]&ua=[USER AGENT]&al=[LANG]&cv=[VERSION]

Die Idee, Werbeklicks mit einem Trojaner zu Highjacken, ist nicht neu. 2011 hatte W32.Xpaj.B genau das getan und soll damit durch 25.000 infizierte Rechner etwa 450 US-Dollar (342 Euro) Umsatz am Tag für seinen Betreiber generiert haben. Mit den mehreren hunderttausend Flashback-Installationen sprechen wir hier über einen Größenordnung von täglich 10.000 US-Dollar (7.610 Euro).

Teilen & Empfehlen






Kommentare