Flashback отказался от помощи пользователей

Intego обнаружила itw новую версию OSX-троянца, маскирующегося под Flash Player. В отличие от прежних вариантов, делавших ставку исключительно на социальную инженерию, она проникает на компьютер посредством эксплуатации 2-х уязвимостей в Java.

По свидетельству экспертов, большинство жертв нового Flashback используют OS X 10.6 Snow Leopard. Если попытка эксплуатации Java оказалась провальной, зловред прибегает к социальной инженерии, воспроизводя фальшивый сертификат, якобы подписанный Apple. Нажатие кнопки «Continue» («Продолжить») в этом окне завершит установку. Flashback.G инсталлируется как неотображаемый файл с расширением .so в папке /Users/Shared. Эксперты отмечают, что присутствие некоторых антивирусных программ на компьютере отпугивает троянца, его установка в этом случае отменяется.

Основной функцией Flashback.G является кража регистрационных данных из браузера и других сетевых приложений. Его интересуют пароли к аккаунтам Google, Yahoo, CNN, банковским сервисам, PayPal и проч. Троянец снабжен модулем автоматической загрузки обновлений, который проверяет ряд заданных сайтов на наличие новых версий.

Одним из характерных признаков присутствия Flashback.G в системе является нестабильная работа веб-браузера (Safari) и других сетевых приложений (Skype). Зловред внедряет код в соответствующие процессы и во многих случаях вызывает аварийный отказ. О наличии инфекции сигнализирует также Java-апплет в папке ~/Library/Caches.