Антивирусная компания Symantec опубликовала новый пост в блоге, в котором анализируется, как вредоносное ПО Flashback, поразившее сотни тысяч Mac, приносило доход своим авторам путем перехвата кликов пользователей по рекламе. Согласно отчету, широкое распространение инфекции означает, что авторы вредоносного ПО могли получать до $10 000 в день от этой схемы на пике ее активности, исходя из предыдущего анализа перенаправления кликов вредоносным ПО.

Компонент перехвата кликов по рекламе Flashback загружается в Chrome, Firefox и Safari, где он может перехватывать все GET и POST запросы из браузера. Flashback специально нацелен на поисковые запросы в Google и, в зависимости от поискового запроса, может перенаправлять пользователей на другую страницу по выбору злоумышленника, где они получают доход от клика. (Google никогда не получает целевой клик по рекламе.)

Работа Symantec над аспектом перехвата кликов по рекламе в Flashback последовала за публикацией российским предприятием Dr. Web, ответственным за первоначальное освещение вредоносного ПО, собственного отчета, анализирующего некоторые ранние данные об инфицированных компьютерах, стремящихся к подключению к серверам управления и контроля.

Отчет рассматривает почти 100 000 подключений, зафиксированных 13 апреля, и обнаруживает, что около двух третей инфицированных машин идентифицировали себя как работающие под Mac OS X Snow Leopard, которая была последней версией OS X, поставлявшейся с включенным по умолчанию Java. OS X Lion не включает Java по умолчанию, и поэтому на нее приходилось только 11% инфекций, обнаруженных в период исследования.

Доля заражения Flashback против доли использования операционной системы (Данные от Dr. Web, диаграмма от Computerworld)

Как отметил Computerworld, OS X Lion составляет почти 40% используемых в настоящее время копий OS X, что предполагает, что решение Apple удалить Java из стандартной установки Lion действительно помогает ограничить инфекции на новейших машинах Apple.

[В то время как уровни заражения Snow Leopard и Leopard выше, чем их доли использования, верно обратное для OS X 10.7, или Lion. Операционная система 2011 года составила 39,6% всех копий OS X, использованных в прошлом месяце, однако на нее приходилось только 11,2% Mac, скомпрометированных Flashback.

Данные Dr. Web о версиях ядра ОС, сообщаемых инфицированными Mac, также демонстрируют, что многие пользователи Mac не обновляют свои системы, причем примерно 25% систем Snow Leopard и Lion, замеченных в исследовании, сообщают, что они отстают как минимум на одну версию от последних обновлений Apple (10.6.8 для Snow Leopard и 10.7.3 для Lion).