A Mac biztonságra szakosodott Intego blogjában figyelmeztetett arra, hogy a Flashback trójai ismét támadja a Macintoshokat, ráadásul okosabban, mint eddig bármikor.
A Flashback.G egy Mac gépekre készített jelszólopó trójai. A gépre települve beépül a böngészőkbe és más webes alkalmazásokba, ahonnan felhasználói neveket és jelszavakat továbbít készítői felé. Meghatározott oldalakat figyel, közöttük a Google, a Yahoo!, a CNN oldalait, bankok weboldalait és a PayPal-ét, ami a magyar felhasználókat is érinti.
A fertőzésre árulkodó jel lehet, ha néhány alkalmazás - például a Safari vagy a Skype - összeomlik, a kártevő beépülése ugyanis instabillá teszi ezeket.
A Flashback a Java sérülékenységeit használja ki. Ha ezek jelen vannak a gépen, a kártevő észrevétlenül tud települni. Ha a sérülékenységek nincsenek jelen (azaz a gépen a legfrissebb Java található), akkor a Flashback a felhasználó megtévesztésével próbálkozik.
A social engineering trükk lényege, hogy egy, látszólag az Apple-től származó digitális aláírást kell a felhasználónak elfogadnia, ami lehetővé teszi a kártevő számára a települést (lásd a képen). A Flashback készítői nyilván arra építenek, hogy sokan automatikusan a tovább gombra nyomnak...
Ráadásul a Flashback új variánsa nem próbálkozik a településsel, ha a gépen antivírus programot észlel. Ilyenkor csupán a terjeszkedésre utazik, majd ha olyan Mac-re érkezik, amit nem véd vírusirtó, ott települ.
Ezzel a módszerrel a kártevő készítői elkerülhetik a lebukást a legtöbb számítógépen, és kényelmesen meg tudják szerezni a felhasználók adatait.
Az Intego eredeti blogbejegyzése itt olvasható.
Update: Ha az Intego blogja nem elérhető, a cikk itt is olvasható.