Mac Flashback Malware: O que é e como se livrar dele (FAQ)

A plataforma Mac da Apple há muito tempo é promovida como mais segura do que a concorrência, mas à medida que as vendas e a fatia de mercado do Mac crescem, ela se torna um alvo maior.

Em nenhum lugar isso é mais claro do que com o Flashback Trojan, um mal-intencionado malware projetado para roubar informações pessoais mascarando-se como plug-ins de navegador muito comuns. Ontem, a empresa de antivírus russa Dr. Web disse que cerca de 600.000 Macs estão infectados como resultado da instalação inadvertida do software.

Então aqui está um rápido FAQ sobre o Flashback Trojan, incluindo informações sobre o que é, como saber se você tem, e as etapas que você pode tomar para se livrar dele.

O que exatamente é Flashback?

O Flashback é uma forma de malware projetada para capturar senhas e outras informações dos usuários por meio do navegador da Web e de outros aplicativos, como o Skype. Um usuário geralmente o confunde com um plug-in de navegador legítimo enquanto visita um site mal-intencionado. Nesse ponto, o software instala o código projetado para coletar informações pessoais e enviá-las de volta aos servidores remotos. Em suas encarnações mais recentes, o software pode se instalar sem interação do usuário.

Quando apareceu pela primeira vez?

O Flashback como o conhecemos agora apareceu perto do final de setembro do ano passado, fingindo ser um instalador do Flash da Adobe, um plug-in amplamente usado para streaming de vídeo e aplicativos interativos que a Apple não envia mais em seus computadores. O malware evoluiu para atingir o Java runtime no OS X, onde os usuários que visitavam sites maliciosos seriam solicitados a instalá-lo em sua máquina para exibir o conteúdo da Web. Versões mais avançadas seriam instaladas silenciosamente em segundo plano, sem necessidade de senha.

Como isso infectou tantos computadores?

A resposta simples é que o software foi projetado para fazer exatamente isso. Em sua encarnação inicial, o malware parecia muito semelhante ao instalador Flash da Adobe. Não ajudou a Apple não ter enviado o Flash em seus computadores por mais de um ano, possivelmente criando um grupo de usuários com maior probabilidade de executar o instalador, a fim de visualizar sites populares que rodam no Flash. Em suas novas variantes relacionadas ao Java, o software pode se instalar sem que o usuário tenha que clicar em qualquer coisa ou fornecer uma senha.

O que também não ajudou é o modo como a Apple lida com o Java. Em vez de simplesmente usar o release público atual do Java, a empresa cria e mantém suas próprias versões. Acontece que os criadores de malware exploraram uma vulnerabilidade específica que a Oracle corrigiu em fevereiro. A Apple não resolveu consertar sua própria versão Java até abril.

O que a Apple fez sobre isso?

A Apple tem seu próprio scanner de malware embutido no OS X chamado XProtect. Desde o lançamento do Flashback, a ferramenta de segurança foi atualizada duas vezes para identificar e proteger contra um punhado de variantes do Flashback.

Uma versão mais recente do malware, no entanto, circulou pelo XProtect executando seus arquivos através do Java. A Apple fechou o principal ponto de entrada do malware com uma atualização do Java em 3 de abril e, desde então, lançou uma ferramenta de remoção como parte de uma atualização Java subsequente.

Observe que as correções de segurança do Java estão disponíveis apenas no Mac OS X 10.6.8 e posterior, portanto, se você estiver executando o OS X 10.5 ou anterior, ainda estará vulnerável. A Apple parou de fornecer atualizações de software para esses sistemas operacionais.

Como eu sei se tenho isso?

Neste momento, a maneira mais fácil de saber se o seu computador foi infectado é dirigir-se à empresa de segurança F-Secure e baixar o seu software Flashback de detecção e remoção. Siga as instruções aqui sobre como obtê-lo e usá-lo. A empresa de segurança Symantec oferece sua própria ferramenta autônoma da marca Norton, que você pode obter aqui.

Como alternativa, você pode executar um trio de comandos no Terminal, um software que você encontrará na pasta Utilitários na pasta Aplicativos do seu Mac. Se você quiser encontrá-lo sem cavar, basta fazer uma pesquisa do Spotlight para "Terminal".

Uma vez lá, copie e cole cada uma das strings abaixo na janela do terminal. O comando será executado automaticamente:

padrões lidos /Applications/Safari.app/Contents/Info LSEnvironment

padrões lidos /Applications/Firefox.app/Contents/Info LSEnvironment

padrões de leitura ~ / .MacOSX / ambiente DYLD_INSERT_LIBRARIES

Se o seu sistema estiver limpo, os comandos informarão que esses pares de domínio / padrão "não existem". Se você está infectado, ele vai cuspir o patch para onde o malware se instalou em seu sistema.

Eu tenho isso. Como faço para removê-lo?

Usando um dos itens acima, as ferramentas mencionadas acima, da F-Secure ou Norton, se livrarão automaticamente do malware do seu computador, sem quaisquer etapas adicionais. Se você está, por algum motivo, cauteloso em usar uma dessas ferramentas de terceiros, o Topher Kessler da CNET fornece um guia passo a passo sobre como remover o Flashback do seu Mac. Esse processo também requer que o pulo no Terminal e a execução desses comandos, rastreie onde os arquivos infectados estão armazenados e, em seguida, exclua-os manualmente.

Para uma boa medida, também é uma boa idéia alterar suas senhas on-line em instituições financeiras e outros serviços seguros que você possa ter usado enquanto seu computador estava comprometido. Não está claro se esses dados estavam sendo segmentados, registrados e enviados como parte do ataque, mas é um comportamento preventivo inteligente que vale a pena ser feito regularmente.

Histórias relacionadas

  • Removedor de malware Flashback da Apple agora vivo
  • Flashback, a maior ameaça de malware para Mac ainda, dizem especialistas
  • Mais de 600.000 Macs infectados com botnet Flashback
  • Atualização Java para patches do OS X Flashback malware exploit
  • ZDNet: Nova epidemia de malware em Mac explora fraquezas no ecossistema da Apple

Então, agora que as correções estão aqui, estou segura?

Em uma palavra, não. Os autores do Flashback já se mostraram inclinados a continuar alterando o malware para evitar novas correções de segurança.

O conselho da CNET é principalmente baixar qualquer software somente de fontes confiáveis. Isso inclui os sites de fabricantes de software conhecidos e confiáveis, bem como repositórios seguros, como o Download.com da CNET. Além disso, como outra regra prática, é uma boa ideia manter os complementos de terceiros atualizados, de modo a manter-se atualizado com as atualizações de segurança. Se você quiser ficar ainda mais seguro, fique longe do Java e de outros complementos do sistema, a menos que sejam necessários por um software confiável ou por um serviço da Web.

O blogueiro da CNET, Topher Kessler, e o editor sênior da CNET, Seth Rosenblatt, contribuíram para este relatório.

Atualizado às 13h40, no dia 5 de abril, com instruções de remoção atualizadas. Atualizado em 6 de abril às 7:44 da PT, com informações sobre uma segunda atualização da Apple e às 13:55 PT com informações sobre o utilitário de detecção baseado na Web do Dr. Web. Atualizado em 9 de abril às 12h30, com confirmação independente de que o formulário do Dr. Web é seguro para as pessoas usarem. Atualizado novamente às 16h, no dia 12 de abril, para anotar o lançamento e detalhes da própria ferramenta de remoção da Apple.

Publicações Populares

Como tirar uma captura de tela no Nexus 4

Pokemon Go: Gyms, candy, pokeballs e tudo mais que você precisa saber

Obtenha o Google Now Launcher no seu dispositivo Android

As melhores dicas de viagem: Embalar hacks, voos baratos, proteger sua casa e muito mais

Seu Hulu ou Netflix pode ser hackeado, aqui está o que fazer

Use o Android? Get Chat Heads instalando o Facebook Messenger

 

Deixe O Seu Comentário