Confirmada la existencia de la red zombi Flashfake para Mac OS X

Esta semana, Dr.Web anunció que había descubierto una red zombi para Mac OS X llamada Flashback (o Flashfake). Según sus datos, esta red zombi está compuesta por más de 500.000 ordenadores Mac infectados.

Hicimos un seguimiento del caso con un análisis de la última variante de este bot, Trojan-Downloader.OSX.Flashfake.ab.

Se está distribuyendo en sitios web infectados como un applet de Java que se hace pasar por una actualización para Adobe Flash Player. El applet de Java ejecuta un downloader que después descarga e instala el componente principal del troyano. El componente principal es un troyano descargador (Trojan-Downloader) que se conecta con frecuencia a uno de sus servidores de comando y control y espera a que aparezcan nuevos componentes para descargarlos y ejecutarlos.

El bot ubica sus servidores C&C de acuerdo a sus nombres de dominio, y esos nombres se generan utilizando dos algoritmos. El primero depende de la fecha actual, el segundo utiliza varias variables que se guardan en el cuerpo del troyano y se codifican con el hardware UUID del ordenador utilizando el cifrado RC4.

Utilizamos ingeniería inversa en el algoritmo de generación del primer dominio y pusimos la fecha actual, 04/06/2012, para generar y registrar un nombre de dominio, “krymbrjasnof.com”. Después de registrarlo, comenzamos a recibir las solicitudes de los bots. Como cada solicitud contiene un UUID único del hardware, pudimos calcular la cantidad de bots activos. Nuestros registros indican que se conectaron a nuestro servidor más de 600.000 bots únicos en menos de 24 horas. En total, utilizaron más de 620.000 direcciones IP externas. Más del 50% de los bots se conectó desde los Estados Unidos.

Distribución geográfica de los bots Flashfake activos

No sabemos con certeza si todos los bots que se conectaron a nuestro servidor utilizaban Mac OS X. Los bots sólo se pueden identificar por una variable única en su encabezado HTTP de User-Agent llamado “id”, el troyano controla el resto del User-Agent de forma estática. Mira el ejemplo de abajo:

“Mozilla/5.0 (Windows NT 6.1; WOW64; rv:9.0.1; sv:2; id:9D66B9CD-0000-5BCF-0000-000004BD266A) Gecko/20100101 Firefox/9.0.1”

Utilizamos técnicas pasivas de OS fingerprinting para hacer un cálculo aproximado. Es probable que ordenadores con Mac OS X hayan enviado más del 98% de los paquetes entrantes de redes. Aunque esta técnica se basa en heurística y no es fiable por completo, sirve para calcular la magnitud en general. Por lo tanto, es muy probable que la mayoría de los ordenadores que ejecutan el Flashfake bot sean Macs.

Distribución aproximada de los sistemas operativos que se utilizan para conectarse a nuestro servidor