Analistas de Kaspersky Lab confirmaron que más de 600 mil computadoras Mac han sido infectadas a nivel mundial por una red de robots Flashback Mac OS X (Flashfake), la cual se propaga como un applet de Java que simula ser una actualización para el reproductor de Adobe Flash.
“Realizamos una ingeniería inversa del algoritmo en el dominio de primera generación y utilizamos la fecha actual, 06.04.2012, para generar y registrar un nombre de dominio, ‘krymbrjasnof.com’”, expresó Igor Soumenkov, analista de Kaspersky Lab. “Después del registro del dominio, pudimos registrar las solicitudes de los robots. Dado a que cada petición del robot contiene hardware UUID único, pudimos calcular el número de robots activos”.
El análisis de Kaspersky Lab registró más de 600 mil robots únicos que se conectaron a su servidor en menos de 24 horas, utilizando un total de más de 620 mil direcciones IP.
Aproximadamente 300 mil 917 de los robots activos se conectaron desde los Estados Unidos, seguido por 94 mil 625 en Canadá, 27 mil 109 en el Reino Unido y 41 mil 600 en Australia. El análisis confirmó que este virus troyano también está presente en América Latina con más de 13 mil Mac infectadas. México cuenta con casi 6 mil infecciones, la mayor cantidad de computadoras basadas en Mac en Latinoamérica comprometidas por esta amenaza. El siguiente mapa muestra la penetración del Flashfake en Sudamérica.
“Con base en las direcciones IP de las Mac infectadas en América Latina, hemos confirmado que entre las víctimas se encuentran algunos bancos, empresas de comunicaciones, los medios de comunicación, entre otras empresas,” asegura Dmitry Bestuzhev, director del equipo de análisis e investigación para Kaspersky Lab en América Latina.
Aunque Kaspersky Lab no puede confirmar ni negar que todos los robots que se conectaron a su servidor a nivel mundial ejecuten Mac OS X, sí obtuvieron una estimación aproximada utilizando técnicas de toma de huellas dactilares pasivos del sistema operativo.
“Más del 98 por ciento de los paquetes de red entrantes fueron muy probablemente enviados por hosts de Mac OS X. Aunque esta técnica se basa en heurística y no se puede confiar completamente, puede ser utilizada para hacer estimaciones del orden de magnitud”, explicó Soumenkov. “Por lo tanto, es muy probable que la mayoría de las máquinas que ejecutan el bot Flashfake son Macs”.
Finalmente, la firma de seguridad exhorta a los usuarios de Mac, especialmente aquellos con versiones antiguas de OS X, que ejecuten actualizaciones de su software lo antes posible.
