El troyano Flashfake ataca la plataforma Mac encubierto en actualización de Adobe

Kaspersky Lab confirma que el virus troyano ‘Flashfake’ para Mac OS X se expande y miles de computadoras Macs infectadas fueron detectadas ya en América Latina.

Flashfake se propaga como un applet de Java que simula ser una actualización para el reproductor de Adobe Flash, y los analistas de Kaspersky Lab afirman que más de 600.000 equipos Macs han sido infectados a nivel mundial.

“Realizamos una ingeniería inversa del algoritmo en el dominio de primera generación y utilizamos la fecha actual, 06.04.2012, para generar y registrar un nombre de dominio, ‘krymbrjasnof.com’ ”, expresó Igor Soumenkov, analista de Kaspersky Lab. “Después del registro del dominio, pudimos registrar las solicitudes de los robots. Dado a que cada petición del robot contiene hardware UUID único,  pudimos calcular el número de robots activos”.

El análisis de Kaspersky Lab registró más de 600.000 robots únicos que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620.000 direcciones IP.

Aproximadamente 300.917 de los robots activos se conectaron desde los Estados Unidos, seguido por 94.625 en Canadá, 27.109 en el Reino Unido y 41.600 en Australia. El análisis confirmó que este virus troyano también está presente en América Latina con más de 13.000 Macs infectadas.  México cuenta con casi 6.000 infecciones, la mayor cantidad de computadoras basadas en Mac en Latinoamérica comprometidas por esta amenaza. El siguiente mapa muestra la penetración del Flashfake en Suramérica sin contar a México.
“A base de las direcciones IPs de las Mac infectadas en América Latina, hemos confirmado que entre las víctimas se encuentran algunos bancos, empresas de comunicaciones, los medios de comunicación, entre otras empresas,” asegura Dmitry Bestuzhev, director del equipo de análisis e investigación para Kaspersky Lab en América Latina.

Aunque Kaspersky Lab no puede confirmar ni negar que todos los robots que se conectaron a su servidor a nivel mundial ejecuten Mac OS X, si obtuvieron una estimación aproximada utilizado técnicas de toma de huellas dactilares pasivos del sistema operativo.

“Más del 98 por ciento de los paquetes de red entrantes fueron muy probablemente enviados por hosts de Mac OS X. Aunque esta técnica se basa en heurística y no se puede confiar completamente, puede ser utilizada para hacer estimaciones del orden de magnitud”, explicó Soumenkov. “Por lo tanto, es muy probable que la mayoría de las máquinas que ejecutan el bot Flashfake son Macs”.

 
Se les exhorta a los usuarios de Mac, especialmente aquellos con versiones antiguas de OS X, que ejecuten  actualizaciones de su software lo antes posible.

Para más información, puede acceder al artículo completo de Igor Soumenkov , Red de robots de Mac OS X confirmada.