Mac-gebruikers die hun Java nog niet hebben bijgewerkt krijgen het dringende advies dit zo snel als mogelijk te doen, er is namelijk gevaarlijke nieuwe malware ontdekt die zich via Java verspreidt. Het gaat om de SabPub-backdoor die mogelijk voor gerichte aanvallen ontworpen is. Eenmaal actief maakt de backdoor verbinding met een Command & Control-server en wacht op verdere instructies. De malware kan screenshots van de huidige sessie maken en commando's op de geïnfecteerde computer uitvoeren.
Aan de hand van de 'timestamps' van de Java dropper waardoor de malware zich verspreidt, zou de backdoor op 16 maart gemaakt zijn. De dropper zou voor het eerst op 12 april naar de ThreatExpert website zijn gestuurd. Eén van de onderdelen van de dropper werd op 2 april op VirusTotal getest. In beide gevallen werd het bestand vanaf een Chinese computer verstuurd. Mogelijk is dit door de malwaremakers gedaan om te controleren of hun creatie door virusscanners zou worden gedetecteerd.
Gerichte aanval
De Java-exploit die de aanvallers gebruiken is volgens Costin Raiu van Kasperksy Lab vrij standaard, maar is wel geobfusceerd. Dat moet detectie door virusscanners voorkomen. Hoe gebruikers besmet raken is nog niet precies bekend. Het lage aantal infecties en de backdoor-functionaliteit tonen volgens Raiu dat het waarschijnlijk om gerichte aanvallen gaat. Volgens sommige meldingen zijn de aanvallen via e-mails uitgevoerd, waar in de berichten een link naar een website stond vermeld.
Een ander belangrijk detail is dat de backdoor met debug-gegevens is gecompileerd. Dit zorgt ervoor dat anti-virusbedrijven de malware eenvoudiger kunnen analyseren, maar zou ook kunnen betekenen dat de backdoor nog in ontwikkeling is.
Ondanks alle aandacht voor de Flashback Mac-malware de afgelopen weken, blijkt dat de helft van de Mac-gebruikers die zich op flashbackcheck.com liet testen, een verouderde Java-versie draait, aldus Kaspersky Lab hoofdbeveiligingsexpert Aleks Gostev op Twitter.
Deze posting is gelocked. Reageren is niet meer mogelijk.