Flashfake - Trojaner / Botnetz

Das Computer durch Viren, Trojaner und Würmer gefährdet waren und sind, ist keine Neuigkeit.
Bislang waren hauptsächlich Rechner mit Microsoft-Betriebssystemen betroffen.
Die Möglichkeiten sich vor solchen Bedrohungen zu schützen sind vielfältig. Entsprechende Programme gibt es wie Sand am Meer.

Nun allerdings sind Apple-Rechner in das Visier von Cyber-Krimminellen geraten.

"Der Mac-Trojaner Flashfake tauchte zum ersten Mal im September 2011 auf. Am 6. April 2012 fanden die Experten von Kaspersky Lab Flashfake-Malware wieder auf verschiedenen Domains, die von den Cyberkriminellen als Command-and-Control-Server (C&C) zur Steuerung des Botnetzes missbraucht werden können. Dadurch konnten sie die Kommunikation zwischen den infizierten Rechnern und den C&C-Servern einsehen und analysieren. Die jüngste Variante des Schädlings (Trojan-Downloader.OSX.Flashfake.ab) installiert sich – unbemerkt vom Nutzer, wenn dieser eine infizierte Webseite ansurft – per Drive-by-Download auf den Opfer-Computern über Java-Schwachstellen.

Kaspersky Lab kennt derzeit 670.000 infizierte Rechner. Die meisten kompromittierten Rechner sind in den USA (300.917). Danach folgen Kanada (94.625) und Großbritannien (47.109) auf den Plätzen zwei und drei. Auch in Europa ist der Mac-Zombie verbreitet: So erkannten die -Experten von Kaspersky Lab auch 4.021 infizierte Computer in Deutschland, in Frankreich waren es 7.891, in Italien 6.585 und in Spanien 4.304.

Allerdings sank die Anzahl der aktiven Flashfake-Bots von 650.748 am 6. April auf 237.103 am 8. April. Dies bedeutet aber nicht, dass die Gefahr gebannt ist, da die aktiven Bots nicht mit der tatsächlich zur Verfügung stehenden infizierten Rechner-Anzahl gleichzusetzen ist. Im Klartext: Am 8. April waren wurden insgesamt 237.103 befallene Rechner aktiv missbraucht."

http://www.kaspersky.com/de/news?id=207566555

Wie beurteilt ihr die Lage?
Seid ihr selbst Apple-User und selbst von Flashfake betroffen?

Wenn ja, dann könnt ihr euer System durch diesen Link checken und gegebenenfalls entsprechende Gegenmaßnahmen einleiten und den Trojaner von eureem System entfernen.

http://www.flashbackcheck.com/ (Archiv-Version vom 13.04.2012)

Ich freue mich auf eure Meinungen und Ansichten.
Spam und OT sind nicht erwünscht.

@bo
Mit dem Heutigen Java Update von Apple wurde die Lücke geschlossen und der Trojaner entfernt.

http://www.ios-newz.de/2012/04/13/apple-veroffentlicht-java-fur-os-x-2012-003-flashback-malware-wird-entfernt/

@Fennek

Sehr gut, dann hat Apple reagiert. Allerdings etwas spät, immerhin war der Trojaner bereits seit fast einem Jahr bekannt.

Hier noch ein, meiner Meinung nach, äußerst interessanter Artikel zum Thema:
http://www.zdnet.de/magazin/41561508/botnetz-osx-flashback-der-mac-hat-seine-unschuld-verloren.htm

Fazit

Durch die zunehmende Verbreitung von Macs steigt deren Attraktivität auch bei Cyberkriminellen. Dass Apple-Rechner grundsätzlich besser geschützt sind als PCs, wird durch die aktuelle Entwicklung nicht bestätigt. Vielmehr sitzen auch vor Macs Menschen, die nicht immer Sorgfalt bei der Installation eines Programms walten lassen oder wichtige Updates vernachlässigen und dadurch zum Sicherheitsrisiko werden. Nur so lassen sich die 670.000 infizierten Rechner erklären.

Doch auch Apple ist an der Situation nicht ganz unschuldig. Hätte man das von Oracle Mitte Februar bereitgestellte Java-Update schneller für Mac OS zur Verfügung gestellt, wären die Infizierungen durch Drive-by-Downloads nicht erfolgt.

Panik ist dennoch fehl am Platz. Was Mac-Anwender dieser Tage als Ausnahme wahrnehmen, gehört in der Windows-Welt längst zum Alltag. Wie die Beispiele mit dem Trojaner Flashback und dem Wurm Conficker zeigen, sind allerdings nur 0,7 bis 1 Prozent der Anwender von den Gefahren tatsächlich betroffen.

Für die Mac-Plattform existiert insgesamt deutlich weniger Schadsoftware als für Windows. Einige Malware gibt zwar, doch ein sich selbst verbreitendes Virus existiert derzeit nicht. Trotzdem dürfte die Einschätzung von Sicherheitsforscher Charlie Miller nicht mehr lange gelten: "Mac OS X ist wie das Landleben auf einem Bauernhof ohne Türschlösser, und Windows ist wie das Leben hinter vergitterten Fenstern im Elendsviertel der Stadt." Der Flashback-Trojaner zeigt eindeutig, dass - um im Bild Millers zu bleiben - einige Kleinkriminelle das friedliche Landleben empfindlich stören. Daher sind Türschlösser möglicherweise auch für Mac-Anwender gut geeignet.

Mit steigendem Marktanteil steigt auch die Lukrativität für Attacken. Langfristig werden sich wohl auch Mac-User über Viren und Trojaner sorgen machen und ein Antivirenprogramm installieren müssen.

@bo
gibt's eigentlich ne Liste der infizierten Seiten, die den verteilen?

zum Glück isser Clean der guteste :)
Aber ich muss auch sagen das der User das größte Problem ist. Wenn mir ne Updatemeldung auf irgendeiner "Spaß" Seite aufploppt dann mach ich das natürlich nicht, wär ja schön doof dann noch das PW einzugeben. Im großen und ganzen ist OSX sicher! Aber eine Virenlösung hab ich auch noch keine vernünftige gefunden die mir mein MBP nicht auf Temp hält^^

dieses hier wurde mir von einem Kollegen empfohlen^^ http://www.sophos.com/de-de/ (Archiv-Version vom 13.04.2012)

MfG Heppy™

Fennek schrieb:gibt's eigentlich ne Liste der infizierten Seiten, die den verteilen?

Das so genannte Flashback-Virus hatte eine Lücke in der Software Java ausgenutzt. Die Programmierer gaben ihre Schadsoftware als Update für den Adobe Flash Player aus. War die Schadsoftware einmal installiert, konnten Angreifer auf sensible Daten wie etwa Passwörter oder Bankdaten zugreifen. Das Flashback-Virus ist bereits vom Windows-PC bekannt, es handelte sich hierbei um eine an den Mac angepasste Variante.

http://www.nachrichten.at/ratgeber/digital/art122,861837

Über diese infizierten Seiten finde ich nicht allzuviel. Nur daß es sich um Drive-by-Infektionen gehandelt haben soll.

Die Verbreitung von Malware erfolgt heute meist nicht mehr als Mail-Anhang sondern über das Web. Online-Kriminelle hacken Web-Server und stellen dort präparierte Seiten ein. Sie versenden Spam-Mails mit Links zu diesen Seiten und optimieren sie für Suchmaschinen. Wer den Links folgt, kann sich schnell und unbemerkt ein Trojanisches Pferd auf den Rechner holen. Dies nennt man einen "Drive-by Download" - das Opfer einer solchen Drive-by-Infektion muss nach dem Aufruf der Seite nichts weiter tun, damit der PC infiziert wird.

http://www.pcwelt.de/ratgeber/Sicher-surfen-Ratgeber-So-schuetzen-Sie-sich-vor-Drive-by-Infektionen-421032.html (Archiv-Version vom 15.04.2012)

Aber ich denke mal, daß die Seiten jetzt von den Servern genommen worden sind.
Um das Botnetz zu begrenzen und weitere Infektionen zu verhindern.

Das wird in Zukunft zunehmen und das wird keine sicherheitsbewusste OS Architektur ändern können. Die meisten User ignorieren Sicherheitsmaßnahmen und klicken einfach weiter.

Was soll mich daran hindern Xcode zu öffnen und einen kleinen Trojaner zu programmieren und wenn ich mehr drauf hätte Sicherheitslücken finden (das ist beim iPhone ja schon eine Kultur mit dem Namen Jailbreak) wäre es ein echt böser Trojaner.

Was viele davon bisher abhielt das es zu wenige Mac Nutzer gab.

wenn win8 so toll wird wie es jetzt ist wird es noch mehr mac und linux nutzer in zukunft geben^^
Aber http://brain.yubb.de/ das ist Pflicht für jeden PC-User!

MfG Heppy™

Nachdem Flashfake anscheinend keine Bedrohung mehr darstellt, sind anscheinend neue Trojaner für den Mac aufgetaucht.

Inzwischen sind zwei weitere Trojaner für den Apple-Computer aufgetaucht, die beide Varianten des "SabPub"-Schadprogramms sind.

Wie die IT-Sicherheitsfirma Kaspersky Lab mitteilt verbreitete sich die erste SabPub-Variante über Word-Dokumente und nutzte eine Java-Schwachstelle unter Mac OS X aus, die nach einem Apple-Update aber nicht mehr besteht. Als Thema der Word-Texte werde oft Tibet oder der Dalai Lama gewählt. Sie soll offenbar gezielt verwendet worden sein, um tibetische Aktivisten auszuspionieren.

Die zweite Version verbreitet sich laut Kaspersky durch präparierte Webseiten. Mit SabPub soll ein Botnetz aufgebaut werden, das unter anderem für Datenspionage benutzt werden kann. Allerdings wurde der Kommandoserver inzwischen offenbar abgeschaltet.

http://www.sueddeutsche.de/digital/apple-computer-zwei-neue-mac-trojaner-aufgetaucht-1.1334505