I august i fjor advarte IT-sikkerhetsselskapet F-Secure mot en Mac-trojaner som presenterte seg som en installasjonsfil for Adobe FlashPlayer, og som siden viste falske Google-sider.
Et IT-sikkerhetsselskap spesialisert på Mac, Intego, advarte kort tid etter mot den samme trojaneren, på sin Mac Security Blog.
Siden har den samme trojaneren, døpt Flashback av Intego, dukket opp i flere varianter, og den har skiftet spredningsmetode. Fra å kreve klikk på en lenke merket «Download Adobe FlashPlayer» på et ondsinnet nettsted, kan Flashback nå smitte enhver Mac som er innom et slikt nettsted.
Intego beskrev den nye smittemetoden i en advarsel publisert 10. februar. I går kom en ny advarsel, om at stadig flere Mac-brukere lar seg smitte.
Den nye smittemetoden utnytter to kjente sårbarheter i Java. Hos brukere med oppdatert Java er disse sårbarhetene tettet. Hos andre er Java som en åpen dør for Flashback, med mindre maskinen har oppdatert antivirus. Flashback unngår Mac-er med sikkerhetsverktøy, antakelig fordi trojanerens opphav ønsker å unngå at den blir oppdaget.
Der Flashback støter på en Mac med oppdatert Java, men uten antivirus, prøver trojaneren seg med et sosialt triks. Den viser følgende vindu:
Klikker man «Cancel», unngår man Flashback. Klikker man «Continue», slipper man trojaneren inn i maskinen.
Poenget her er at man må være ganske årvåken for å merke seg at rotsertifikatet som presenteres ikke er attestert av noen, og at det er signert av en instans som gir seg ut for å hete «Apple Inc.». Advarselen i rød skrift er klar: Rotsertifikatet er ikke klarert. Men mange lar seg lure.
Integos beskrivelse av skadeverket voldt av Flashback er omfattende: Applikasjoner korrumperes, maskinen krasjer, og brukernavn og passord letes opp for å overføres til uvedkommende.
Det anbefales å kjøre «software update» og sørge for oppdatert Java. Det anbefales også ikke å stole på uklarerte rotsertifikater, selv om de kaller seg Apple. Antivirus er antakelig heller ingen dum idé, selv på en Mac.
