2012年4月,卡巴斯基实验室安全专家发表了一篇题为《Flashfake恶意软件的解剖:第一部分》的文章,详细分析了这款针对Mac OS X的恶意软件的感染手段和传播机制。通过分析,还原了Flashfake(又名Flashback)在今年4月底造成全球748,000台Mac OS X计算机受感染的过程。据了解,这款恶意软件能够劫持受感染计算机上的搜索结果,用来实施点击诈骗。
近日,卡巴斯基实验室的安全专家发布了《Flashfake恶意软件的解剖:第二部分》,详细分析了该恶意软件的附加功能,并对Flashfake背后的网络罪犯所采用的技术手段进行了深度分析,揭示出其通过点击诈骗获取钱财的事实。
Flashfake恶意程序由多个组件构成,能够将恶意代码注入到受感染计算机的浏览器中。一旦恶意代码被注入,会让受感染计算机自动连接活动的Flashfake命令控制服务器(C&C)。当受害用户使用Google搜索引擎浏览网页时,页面中的合法广告和链接会被Flashfake命令控制中心的诈骗广告和链接所取代。网络罪犯会欺骗受害用户点击其中的诈骗广告和链接赚取钱财。
2012年3月,Flashfake幕后的开发人员创建了一个包含更多功能的新版动态库文件。值得注意的是,其中还包括一种新的利用Twitter搜索Flashfake命令控制服务器的手段以及一种假冒的Firefox浏览器插件。这款恶意插件会伪装成Adobe Flash Player插件,但功能确是同命令控制服务器进行通讯,实施点击诈骗。
卡巴斯基实验室全球分析和研究团队总监CostinRaiu解释:“Flashfake是目前Mac OS X平台下传播最为广泛的恶意程序。这次大规模感染事件表明,Mac OS X平台已经明确地成为网络罪犯的攻击目标。网络罪犯不仅提升了攻击手段,充分利用零日漏洞进行攻击,还开发出具有抵抗性的恶意程序。Flashfake会检查计算机上的反病毒解决方案,还集成了自我保护手段,采用加密连接同命令控制服务器进行通讯。此外,该恶意软件采用了Twitter和Firefox插件等附加功能,同样显示出网络罪犯为了提高这款恶意软件的传播范围和效率,不惜花费大量时间和精力对其进行改进。”
虽然到4月底,Flashfake恶意软件已经感染了超过748,000台Mac OS X计算机,但其组成的僵尸网络规模已经显著变小。到5月,活动的僵尸计算机数量约为112,528台。