Flashfake to trojan, który pojawił się jesienią ubiegłego roku i wykorzystywał do infekcji lukę zabezpieczeń we Flashu. Jego pierwsze wersje wymagały pobrania i zainstalowania wirusa przez użytkownika, więc hakerzy uciekali się do rozmaitych oszustw. Późniejsze odmiany trojana nie wymagały już żadnych działań użytkownika - zarażenie systemu dokonywało się w trakcie odwiedzin zainfekowanej strony (atak typu driver-by download). W szczytowym momencie, w połowie kwietnia, botnet Flashfake opanował ponad 670 tys. Maców.

System operacyjny MacOS X przez kilka lat skutecznie opierał się atakom, złośliwe oprogramowanie praktycznie nie wychodziło poza pokazy laboratoryjne. Jedną z przyczyn, dla których powszechne w świecie Windows wirusy pojawiają się na platformie Mac, jest wzrost udziału rynkowego tych komputerów. Komputery z nadgryzionym jabłkiem obecnie stanowią około 5% wszystkich stacji roboczych, łącznie z laptopami. To już poważna część rynku. Dla porównania: udział Linuksa oscyluje w okolicy 2%, a Google Chrome jest jeszcze rzadszym systemem. Pomimo lepszej odporności MacOS X na ataki, wynikającej choćby z zastosowania mechanizmów ochronnych wypracowanych przez całe lata w systemach typu UNIX z rodziny BSD, złośliwe oprogramowanie dla tej platformy musiało się kiedyś pojawić.

Wirusy z nielegalnym oprogramowaniem

Przypadki zarażania komputerów Apple z systemem MacOS X notowano co najmniej od 2009 r., gdy w nieoficjalnym obiegu krążyły pirackie instalacje oprogramowania iWorks oraz Adobe Photoshop CS4 for Mac, które zawierały konia trojańskiego iServices. Oprogramowanie to otwierało drogę zdalnym połączeniom z zewnątrz, dzięki czemu możliwe były praktycznie dowolne manipulacje przejętym systemem przez sieć. Firma Intego twierdziła, że w ten sposób można było zarazić złośliwym oprogramowaniem około 5 tys. komputerów. Nadal jednak rozmiar infekcji był ograniczony do użytkowników pirackich kopii iWorks czy tych, którzy chcieli złamać zabezpieczenia wersji próbnej Photoshopa CS4.

Technika z ataków na Windows

W środowisku Windows od kilku lat są popularne fałszywe wtyczki Flash lub rzekome "aktualizacje" przeglądarek i ta sama technika zarażania komputerów złośliwym oprogramowaniem została wykorzystana do infekcji MacOS X. Właśnie Flashfake był dystrybuowany jako fałszywa wersja wtyczki Flash (stąd nazwa). Jej zadanie polega na przejęciu kontroli nad komputerem, w celu zmiany wyświetlanych w przeglądarce reklam. Nie była to jednak kradzież informacji - hakerzy zarabiali na przejęciu ruchu internetowego: na przekierowaniu jednego użytkownika mogli zarobić ok. 25 gr.

Aktywność przestępcza jest zbliżona do tej, którą obserwuje się od lat w środowisku pecetów z systemem Windows. Gangi nie dokonują poważnych pojedynczych operacji, które zainteresowałyby organy ścigania, ale raczej doprowadzają do instalacji obcego oprogramowania przeznaczonego do przejmowania ruchu lub drobnych kradzieży bankowych. Fałszywy antywirus, podstawiona "aktualizacja" wtyczki Flash powodująca wyświetlanie reklam lub przechwycenie ruchu internetowego dobrze pasuje do strategii działania takich grup hakerów.

Ewolucja złośliwego oprogramowania dla platformy Mac OS X wykazuje te same cechy, które obserwowano na platformie Windows kilka lat temu - gdy tylko pojawia się specjalnie utworzone narzędzie do usuwania wirusa, od razu pojawia się także jego nowa wersja. Między innymi dlatego wydanie na początku kwietnia zarówno aktualizacji przez Apple, jak i narzędzi do usuwania złośliwego oprogramowania nie zmniejszyło radykalnie zasięgu botnetu (źródło: raport firmy Dr Web).

Luka w Javie

Pierwsze poważniejsze infekcje komputerów z systemem MacOS X w roku 2010 i 2011 przeprowadzono za pomocą fałszywej wtyczki Flash prezentowanej na stronie zachęcającej do szybkiej aktualizacji tego składnika systemu. Chociaż wymagało to działań socjotechnicznych, była to skuteczna strategia. Obecne złośliwe oprogramowanie radzi sobie bez takich sztuczek, wykorzystując podatność wtyczek przeglądarki Safari, takich jak Java. Do ataków wykorzystywane są różne eksploity. Przyczyną, dla której zestaw eksploitów przeznaczony do przestarzałej wersji Javy działa dobrze w systemach MacOS X, jest duże opóźnienie między wydaniem aktualizacji przez producenta technologii Java (firmę Oracle) a rozpowszechnianiem łat przez Apple.

Ekspert firmy Kaspersky Lab Kurt Baumgartner zauważa: "Czas ten - liczony w miesiącach! - jest na tyle długi, że po wydaniu aktualizacji przez Oracle informacje o podatnościach stają się powszechnie znane. Dochodziło do takich paradoksów, że eksploity były już dostępne w pakiecie Metasploit, a MacOS X nadal nie posiadał łaty od Apple, choć poprawka od Oracle była już dostępna".

Tak duży rozziew między wydaniem poprawki przez dostawcę technologii a publikowaniem swojej poprawki przez Apple sprawia, że użytkownicy MacOS X nie mogą zaktualizować systemu, a zatem ich komputery są podatne na luki, które wcale nie są podatnościami dnia zerowego.

Wirusy dla Windows na Macu

Ponieważ oprogramowanie dla Windows nie działa w środowisku MacOS X, wielu użytkowników ma wirtualizowane środowisko z systemem Windows XP, uruchamiane za pomocą oprogramowania Parallels Desktop. Problem polega na tym, że odporność na złośliwe oprogramowanie systemu Windows nie wzrasta po jego umieszczeniu w takim środowisku. Pewna część instalacji wewnątrz Parallels prawdopodobnie zawiera złośliwe oprogramowanie dla obu platform - dla MacOS X w systemie hostującym oraz dla Windows wewnątrz wirtualizowanego środowiska.

Dodatkowym zagrożeniem jest przenoszenie złośliwego oprogramowania dla Windows przez zasoby MacOS X - na przykład przez udostępniane dyski lub nośniki wymienne. Chociaż wirusy te nie mogą zrobić szkody systemowi MacOS X, komputer z tym systemem jest w stanie pośredniczyć w dalszych infekcjach w firmie.