Video Screencast Help
Security Response

OSX.Flashback.K – Disminuyen Infecciones a 270,000

Created: 12 Apr 2012 08:10:58 GMT • Translations available: English, 日本語
Symantec Security Response's picture
0 0 Votes
Login to vote

 

OSX.Flashback apareció en escena a finales del 2011 y ha recorrido un largo camino desde su humilde comienzo como fraude de ingeniería social tratando de pasar por una falsa actualización de Flash utilizando certificados digitales que supuestamente provienen de Apple. Flashback ahora está aprovechando la última vulnerabilidad de Java (BID 52161 - Oracle Java SE Remote Java Runtime Environment Denial Of Service Vulnerability ) con el fin de infectar los equipos y entregar su carga útil. Un parche para esta vulnerabilidad fue liberado por Oracle en las plataformas Windows, Solaris y Linux a principios de este año, mientras que Apple liberó un parche para los usuarios de Mac esta semana, el cual está disponible como una actualización de software. Esta reciente ola de ataques es una prueba de cómo los cibercriminales pueden aprovecharse de las vulnerabilidades sin parches para instalar sus productos en gran escala.

Los autores de malware se han dirigido al sistema operativo Mac desde hace bastante tiempo, sin embargo, las infecciones OSX.Flashback.K recientes indican un cambio significativo en el panorama de amenazas actual, que está dominado por el malware en el sistema operativo Windows. Lo que diferencia a esta amenaza, además de los típicos troyanos para Mac es el enorme tamaño de los equipos Mac que han sido infectadas. Las estimaciones de Dr. Web reporta infecciones de OSXFlashback.K de alrededor de 550,000 equipos.

Esta cifra se ha reducido significativamente desde entonces y de acuerdo con datos de Symantec Global Intelligence Network, se estima que el número de equipos infectados con esta amenaza en las últimas 24 horas es de alrededor de 270,000. La distribución actual de flashback a partir se puede ver en el siguiente mapa, donde América del Norte, Australia y el Reino Unido tienen las concentraciones más altas de este Troyano.
 

La siguiente figura muestra los 10 países más afectados por Flashback y su porcentaje en el total general de las infecciones de Flashback.
 

 

Symantec, continuará monitoreando de cerca la cantidad de estas infecciones en las próximas semanas.
 
OSX.Flashback.K utiliza un generador de nombres de dominio (DNG), algoritmo que le permite generar un nuevo dominio cada día con el fin de ponerse en contacto con el comando y control (C&C) del servidor. Los dominios para los próximos días se pueden ver a continuación. Estos dominios están sink-holed para que Symantec Security Response pueda reunir más datos estadísticos sobre el tamaño de la infección a lo largo de la semana e impedir a Flashback contactar con el servidor C&C para recibir más instrucciones.
 

Symantec también ha identificado un número diferentes direcciones IP que son usadas en la variante OSX.Flashback.K
 

 

Los dominios ".com" fueron registrados el 26 de marzo y el 04 de abril. Estas fechas están en línea con la preparación para el reciente ataque Flashback. Estas direcciones IP hospedaron la explosión en si (CVE-2012-0507) con el fin de instalar OSX.Flashback.K, servir cargas útiles, registrar datos estadísticos enviados al servidor desde Flashback Trojan. Las direcciones IP no brindan contenido malicioso relacionado con OSX.Flashback.K; sin embargo, Symantec está monitoreando de cerca la situación en caso que la banda Flashback decida redistribuir sus operaciones.
La semana pasada, Apple publicó un parche que corrige la falla de seguridad de Java para sistemas que ejecutan OS X v10.7 y Mac OS X v10.6. Los sistemas más antiguos (y por debajo de 10.5) siguen siendo vulnerables y la recomendación oficial de Apple es desactivar Java para prevenir la infección. Se recomienda iniciar una actualización, si esto no se ha hecho ya, o descargar la actualización manualmente desde Apple si su sistema operativo es vulnerable al ataque.