Dito puntato, di nuovo, contro Java: è ancora il linguaggio di programmazione utilizzato da Mac, Pc Windows e Linux a fornire un comodo trampolino di lancio a nuovi attacchi informatici. Come recentemente accaduto con Flashback, il trojan responsabile del contagio di oltre 600mila computer Apple, il nuovo attacco sfrutta una vulnerabilità presente in Java, ma questa volta per infettare terminali con diversi sistemi operativi.
Lo schema dell'attacco cross-platform basato sulla vulnerabilità Java
Attraverso Java, il nuovo malware scarica un codice maligno nel computer,
installando un trojan dropper che è in grado di riconoscere se il terminale è un Mac OS X o Windows. In entrambi i casi, un trojan backdoor (scritto in Python per i Mac e in C++ per i Pc con l’OS di Microsoft) permette poi agli hacker di inviare comandi ai Pc, di caricare codici e sottrarre file all’insaputa dell’utente.
Come accorgersi di essere stati attaccati? I possessori di Mac possono verificare la presenza di due file in particolare, /Users/Shared/update.sh e /Users/Shared/update.py, ed eventualmente cancellari. Inoltre, è consigliabile scaricare un tool di rimozione scegliendo fra quelli rilasciati da
Sophos,
Mal/20113544-A e
Mal/JavaCmC-A, o da
Symantec, per liberarsi dal
malware Java per Apple, dai
dropper e dai
trojan backdoor.
E proprio dal
blog di Symantec sono arrivati, nei giorni scorsi, dettagli inediti sul funzionamento dell’ormai famigerato
Flashback, i cui effetti truffaldini sarebbero tutt’altro che esauriti. Il meccanismo di funzionamento della cosiddetta
“frode da click”, infatti, continua a generare introiti rubando click dagli ads che Google visualizza insieme ai risultati di ricerca.
Il meccanismo è simile a quello di una botnet analizzata da Symantec lo scorso agosto, e capace di far intascare al suo creatore 450 dollari al giorno attraverso 25mila computer infettati. Con le debite proporzioni, poiché i terminali colpiti da Flashback sono centinaia di migliaia, in questo caso
si possono ipotizzare guadagni dell’ordine dei 10mila dollari al giorno. Il che significa qualcosa come 75mila dollari alla settimana.
Il punto di forza del meccanismo della
click fraud, sottolinea Symantec, è il suo essere poco invasiva, quasi trasparente in termini di esperienza di navigazione dell’utente, mentre le vittime dirette della frode risultano essere Google e i suoi inserzionisti. La botnet, infatti, genera dei “click fantasma” che fanno lievitare i conti pay per click delle aziende.
“Improvvisamente, le aziende si ritrovano a dover pagare conti più salati del previsto – ha spiegato
Vikram Thakur, principal security response manager di Symantec –. Mettiamo che si aspettino di pagare per un centinaio di click al giorno e di vendere il loro prodotto a uno sui cento utenti che hanno cliccato: improvvisamente, si trovano a dover pagare per mille click fantasma, senza che nessuno compri nulla”.
La pagina di Symantec da cui scaricare il tool di rimozione di Flashback
Gli sviluppatori di Flashback, inoltre, hanno aggiunto una ulteriore raffinatezza alla truffa, stilando una
white list di siti particolarmente noti, come Amazon e PayPal, che risultano non intaccati dal meccanismo. In questo modo si evitano reindirizzamenti di ads che risulterebbero troppo clamorosi ed evidenti agli occhi di chi naviga.