Flashback, conosciuto anche come Flashfake, è un trojan che si maschera come finto aggiornamento per il Flash Player di Adobe e sfrutta una falla di sicurezza di Java per installarsi nel computer ospite. In quest'ultima variante (BackDoor.Flashback.39), colpisce prevalentemente i computer con sistema operativo Mac OS X. Sebbene infatti in origine Flashback fosse stato concepito anche per colpire i computer Windows, un aggiornamento di sicurezza della piattaforma Java distribuito da Microsoft in passato, ha eliminato definitivamente ogni possibile rischio di contagio.
Apple, non avendo invece distribuito in precedenza il medesimo aggiornamento di sicurezza, ha di fatto esposto tutti i suoi utenti al rischio di contagio. Questa lacuna ha fatto si che il malware Flashback si diffondesse velocemente tra i computer Mac.
Un recente rapporto di Dr. Web, società russa specializzata in sicurezza informatica, ha confermato che sarebbero oltre 600 mila i computer Mac colpiti dal malware, localizzati per lo più negli Stati Uniti (57%) e nel Canada (20%). Per quanto riguarda l'Italia, i computer Mac colpiti da Flashback sarebbero fortunatamente pochi, pari al 0,3% del totale.
Figura 1. Mappa diffusione Flashback trojan
(clic per ingrandire)
Dati confermati anche da Kaspersky Lab, altra nota azienda che si occupa di sicurezza informatica, che ha addirittura spostato l'asticella un po' più in alto, con ben 670 mila computer Mac colpiti da Flashback.
Figura 2. Diffusione Flashback secondo Kaspersky
(clic per ingrandire)
Dr. Web e Kaspersky Lab confermano dunque che Flashback è da considerarsi come la più grande infezione ai danni di dispositivi Mac mai registrata sino ad ora. La vastità di questa infezione ripropone inoltre il crescente problema della messa in sicurezza dei computer Mac che erroneamente vengono considerati a "prova di virus".
Sino a qui la teoria, ma come fare adesso per verificare se il proprio computer è stato contagiato da Flashback e come fare eventualmente per eliminarlo e per proteggersi da eventuali nuovi rischi? Aziende che si occupano di sicurezza informatica come F-Secure e la stessa Kaspersky Lab hanno reso disponibili alcune guide e anche alcuni tool per scovare ed eliminare la minaccia Flashback.
Partendo dalla descrizione della modalità di infezione proposta da F-Secure, Juan I. Leòn, uno sviluppatore indipendente, ha realizzato "FlashbackChecker", un semplice tool che verifica la presenza del malware Frashback sul proprio computer Mac.
Figura 3. FlashbackChecker
(clic per ingrandire)
In caso di positività, la stessa F-Secure ha spiegato sul proprio sito come rimuovere manualmente il malware, agendo direttamente dal terminale del computer Mac.
Rimozione manuale Flashback
La procedura, da eseguire con attenzione, è la seguente:
Da terminale, digitare:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
Segnarsi a questo punto i codici "DYLD_INSERT_LIBRARIES" e dare ancora invio. Se apparirà a questo punto la scritta "The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist" , allora potete tirare un sospiro di sollievo perché vorrà dire che il vostro computer non è infetto.
Viceversa, in caso di positività, a terminale scrivete:
grep -a -o ‘__ldpath__[ -~]*' %percorso_del_punto_2%
e segnatevi i valori accanto a "__ldpath__".
Da terminale eseguite ancora:
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
e in seguito
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
andando poi a cancellare i file che troverete nel secondo e quarto punto.
Ancora da terminale eseguire:
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
e se vi apparirà la scritta "The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist" allora avrete debellato il malware, altrimenti eseguite eseguite ancora:
grep -a -o ‘__ldpath__[ -~]*' %percorso_del_punto 4%
e segnatevi i valori.
Eseguite ancora:
defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES
andando a cancellare poi i file indicati nei punti precedenti.
Rimozione automatica Flashback trojan
Se siete poco pratici dei comandi da terminale, potrete utilizzare il tool completamente automatico "Removal Tool Flashfake" fornito da Kaspersky Lab.
Figura 4. Removal Tool Flashfake
(clic per ingrandire)
Questo piccolo software in pochi passaggi verifica la presenza di Flashback e ne rimuove le componenti in caso il nostro computer ne risultasse affetto.
Una volta rimosso Flashback dal nostro computer Mac, o dopo aver appurato che non ne siamo affetti, per scongiurare definitivamente la minaccia è vivamente consigliabile scaricare e installare l'aggiornamento di Java che Apple in questi giorni ha reso disponibile per bloccare la diffusione del malware. Se il vostro computer non vi avesse ancora avvisato della disponibilità di questo aggiornamento, potrete installarlo cliccando su "simbolo Apple->Aggiornamento Software" e poi seguire le istruzioni a video.
Infine, se volete debellare per sempre il rischio di contrarre un'infezione per il vostro computer Mac, potete pensare di provare ad installare sul vostro computer uno dei tanti antivirus gratuiti per Mac.
