Symantec: nur noch etwa 270.000 Macs mit Flashback infiziert

Nach Angaben von Symantec nimmt die Verbreitung des Mac-Trojaners Flashback stetig ab. Die Zahl der infizierten Rechner sei seit dem 6. April von schätzungsweise 600.000 auf etwa 270.000 am 11. April gesunken, teilt der Sicherheitsanbieter in seinem Blog mit. Allein vom 10. auf den 11. April habe man innerhalb von 24 Stunden einen Rückgang um 110.000 Infektionen beobachtet. Mit Abstand am weitesten verbreitet ist Flashback Symantec zufolge in den USA. Hier finden sich 47,3 Prozent aller Infektionen. Dahinter folgen Kanada mit 13 Prozent, Großbritannien mit 6,1 Prozent und Australien mit 5,1 Prozent. In Deutschland stehen laut den Berechnungen des Sicherheitsunternehmens nur 1,6 Prozent aller mit Flashback infizierten Macs.

Der Trojaner nutzt ältere Java-Lücken aus, um sich auf einem anfälligen System einzunisten und anschließend persönliche Informationen zu stehlen. Am 3. April hatte Apple Java aktualisiert, um die Lücken unter Mac OS X 10.7 Lion und 10.6 Snow Leopard zu schließen. Inzwischen bietet es wie mehrere Sicherheitsanbieter auch ein Removal Tool an, das die Malware aufspüren und entfernen soll. Zudem arbeitet es nach eigenen Angaben weltweit mit Internet-Service-Providern zusammen, um das Befehls- und Kontrollnetzwerk des Trojaners abzuschalten.


Knapp die Hälfte der weltweiten Flashback-Infektionen findet sich in den USA (Bild: Symantec).

Flashback injiziert Code in Browser oder andere Anwendungen des Systems. Beim späteren Start dieser Programme kontaktiert der Trojaner seine Kommandoserver und versucht, Screenshots sowie persönliche Informationen zu senden. Die jüngsten Varianten können einen ungepatchten Rechner auch per Drive-by-Download infizieren. Ein Mac-Nutzer muss dafür nur auf eine manipulierte Webseite gelockt werden.

Symantec zufolge generiert der Trojaner jeden Tag einen neuen Domain-Namen, den er nutzt, um Verbindung zum Kontrollserver aufzunehmen. Heute lautet er demnach „miecjlosmoliu.com“, morgen „cfqwmwlmyuvln.com“ und am Sonntag dem 15. April „jghidxcalkrrw.com“. Symantec überwacht die Domains derzeit, um zusätzliche Daten über das Ausmaß der Infektion zu sammeln und eine Kontaktaufnahme zum Kontrollserver zu unterbinden.


Über diese IP-Adressen wurde Flashback verbreitet (Bild: Symantec).

Der Sicherheitsanbieter hat nach eigenen Angaben auch mehrere eindeutige IP-Adressen identifiziert, die von den verschiedenen Flashback-Varianten verwendet werden. Die .com-Domains seien am 26. März und 4. April registriert worden. Diese Daten passten zu den Vorbereitungen für die jüngsten Flashback-Angriffe. Unter den IP-Adressen wurde der Exploit selbst gehostet, um Flashback zu installieren, weiteren Schadcode zu verteilen und vom Trojaner an den Server gesendete Statistikdaten aufzuzeichnen. Auch wenn mittlerweise kein mit Flashback zusammenhängender Schadcode mehr über die IP-Adressen verbreitet werde, wolle man sie weiter beobachten.

Unabhängigen Sicherheitsexperten zufolge handelt es sich um die bislang größte Infektion von Apples Mac-Plattform. Die Zeiten, in denen Mac OS als immun gegen Schaftsoftware aller Art galt, seien endgültig vorbei. Daher sollten Mac-Anwender, die sich vor Gefahren aus dem Internet besser schützen wollen, die Installation einer Antiviren-Lösung wie dem kostenlosen ClamXav in Betracht ziehen.

Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago