Si todavía eres de esos usuarios que piensan que por tener un Mac nunca vas a tener problemas con el malware , hoy os traigo una botnet cuyo principal objetivo fueron dispositivos de la marca norteamericana.

Las primeras noticias que se tiene de Flashback, fueron en septiembre de 2011 a través de la empresa de antivirus Intego, pero fue en abril de 2012, cuando la botnet atrajo realmente la atención, debido a que se detectaron más de 400.000 equipos infectados por ella.

El método de infección fue evolucionando con el tiempo. Las primeras versiones de la botnet se hacían pasar por una actualización legítima de Adobe Flash Player. El malware conducía al usuario hacia un sitio web malicioso atraído generalmente por una mejoría en su posicionamiento web. Una vez el usuario descargaba el archivo ofrecido para llevar a cabo la actualización legítima, al introducir sus credenciales, se permitía a Flashback instalarse automáticamente en el equipo Mac.

Otro método de infección, el cual resulto ser el más efectivo, aprovechaba dos brechas de seguridad que afectaban a  Java y las cuales fueron reportadas en CVE-2012-0507 y CVE-2011-3544.

Debido a estas vulnerabilidades, Flashback podía infectar de manera automática sin que el usuario tuviera que introducir ningún tipo de información. Con solo la visita de un sitio web que contuviera el applet malicioso de Java, ya fuera de manera directa o a través de un Iframe éste conseguía acceder a los equipos. Por su puesto este applet estaba auto firmado y no provenía de Apple.

La marca californiana tardó mucho tiempo en corregir estas vulnerabilidades de Java, porque ésta versión incluida en los equipos Mac OS X, no podía ser actualizada por su fabricante, Oracle, y debía ser actualizada por sus propios sistemas.

Para contrarrestar los posibles ataques que Apple podría sufrir a través de esta botnet, utilizó ingeniería inversa en el algoritmo que generaba los dominios que utilizaba el malware y, de esta manera, compró todos los posibles dominios que pudieran ser utilizados por Flashback hasta finales de 2013 y 2014.

El uso principal que se le daba a la botnet era el de ganar dinero a través de la publicidad. El malware en muchas ocasiones se utilizó para redirigir los clics de los usuarios hacia páginas donde se cobraba por realizar dicha acción. Cuando el ciberdelincuente tenía el control de un ordenador, éste instalaba un pequeño plug-in en los navegadores web que permitían redirigir las búsquedas realizadas en Google hacia diferentes páginas de publicidad con las que ingresaban dinero por cada visita. Se calculó que Flashback fue capaz de recaudar casi 10.000 dólares por día siguiendo esta estrategia.

Nunca se pudo probar la autoría de esta botnet, pero existe una investigación llevada a cabo por Brian Kerbs que señala a Maxim Dmitrievich Selihanovich como el creador de Flashback.


Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…