Kaspersky: analisi del malware Flashfake

redazione

Oggi gli esperti di Kaspersky Lab hanno diffuso un secondo documento “The Anatomy of Flashfake Part 2” , che analizza le altre funzionalità del malware e fornisce un’approfondita analisi delle metodologie utilizzate dai criminali informatici per guadagnare denaro attraverso il click-froud.
Metodologie operative
Il programma nocivo Flashfake è composto da moduli multipli che immettono il codice nocivo nel browser delle vittime. Una volta che il codice nocivo è stato introdotto illegalmente, questo connette il computer infettato ad una serie di server Command & Control (C&C) Flashfake. A questo punto, quando la vittima utilizza il motore di ricerca di Google per navigare sui siti web, gli annunci e i link ai siti che vengono visualizzati sono in realtà fraudolenti e portano al server Command & Control (C&C) Flashfake.
Nuove funzionalità
A marzo 2012, il gruppo Flashfake ha creato una nuova versione della dynamic library con nuove funzionalità. In particolare, questa include una nuova ricerca su come i Flashfake C&C server utilizzano Twitter e il browser Firefox. Quest’ultimo si presenta come un normale Adobe Flash Player ed esegue le stesse funzionalità per comunicare con il C&C ed eseguire le truffe click-froud.
Flashfake è al momento il programma nocivo per Mac OS X più diffuso e questo dimostra che Mac OS X, continua ad essere un obiettivo per i cyber criminali”, ha dichiarato Costin Raiu, Director, Global Research & Analysis Team, Kaspersky Lab. “Non solo i cyber criminali continuano a migliorare i propri metodi di attacco per incorporare le vulnerabilità degli zero-day, ma hanno anche creato un programma flessibile in grado di adattarsi”.
Flashback controlla regolarmente le soluzioni anti-virus e utilizza la crittografia per comunicare con il C&C. Le funzionalità aggiuntive per Twitter e Firefox dimostrano la loro disponibilità ad investire tempo ed energie per migliorare la portata e l’efficienza del malware”.
Anche se Flashfake ha infettato oltre 748.000 computer Mac OS X alla fine di aprile, la dimensione della botnet era già diminuita in maniera significativa. A maggio il numero di bot attivi è stato stimato in 112.528.