卡巴斯基深度剖析Mac OS X Flashfake恶意软件

2012年4月，卡巴斯基实验室安全专家发表了一篇题为《Flashfake恶意软件的解剖：第一部分》的文章，详细分析了这款针对Mac OS X的恶意软件的感染手段和传播机制。通过分析，还原了Flashfake(又名Flashback)在今年4月底造成全球748,000台Mac OS X计算机受感染的过程。据了解，这款恶意软件能够劫持受感染计算机上的搜索结果，用来实施点击诈骗。

近日，卡巴斯基实验室的安全专家发布了《Flashfake恶意软件的解剖：第二部分》，详细分析了该恶意软件的附加功能，并对Flashfake背后的网络罪犯所采用的技术手段进行了深度分析，揭示出其通过点击诈骗获取钱财的事实。

Flashfake恶意程序由多个组件构成，能够将恶意代码注入到受感染计算机的浏览器中。一旦恶意代码被注入，会让受感染计算机自动连接活动的Flashfake命令控制服务器(C&C)。当受害用户使用Google搜索引擎浏览网页时，页面中的合法广告和链接会被Flashfake命令控制中心的诈骗广告和链接所取代。网络罪犯会欺骗受害用户点击其中的诈骗广告和链接赚取钱财。

2012年3月，Flashfake幕后的开发人员创建了一个包含更多功能的新版动态库文件。值得注意的是，其中还包括一种新的利用Twitter搜索Flashfake命令控制服务器的手段以及一种假冒的Firefox浏览器插件。这款恶意插件会伪装成Adobe Flash Player插件，但功能确是同命令控制服务器进行通讯，实施点击诈骗。

卡巴斯基实验室全球分析和研究团队总监Costin Raiu解释：“Flashfake是目前Mac OS X平台下传播最为广泛的恶意程序。这次大规模感染事件表明，Mac OS X平台已经明确地成为网络罪犯的攻击目标。网络罪犯不仅提升了攻击手段，充分利用零日漏洞进行攻击，还开发出具有抵抗性的恶意程序。Flashfake会检查计算机上的反病毒解决方案，还集成了自我保护手段，采用加密连接同命令控制服务器进行通讯。此外，该恶意软件采用了Twitter和Firefox插件等附加功能，同样显示出网络罪犯为了提高这款恶意软件的传播范围和效率，不惜花费大量时间和精力对其进行改进。”

虽然到4月底，Flashfake恶意软件已经感染了超过748,000台Mac OS X计算机，但其组成的僵尸网络规模已经显著变小。到5月，活动的僵尸计算机数量约为112,528台。