Apple heeft op geraffineerde wijze Flashback om zeep geholpen. Het botnet dat voor het eerst opdook in september 2011 gaat de boeken in als één van de meest geavanceerde malware ooit voor Mac-gebruikers. Hoewel de tellingen uiteen lopen zijn om en nabij de 600.000 Macs wereldwijd besmet geweest, waaronder zo'n 1500 in Nederland.

Apple pakte na veel kritiek het Flashback-botnet aan door de code van de trojan te reverse-engineeren en zo de lijst van domeinen te bemachtigen waar de zombies mee zouden communiceren. Apple kocht vervolgens deze domeinen in om de clients af te sluiten van hun C&C. Maar begin dit jaar vergat Apple de registratie van domeinen te verlengen, zo schrijft Ars Technica. Hierdoor konden beveiligingsonderzoekers weer meekijken hoeveel zombies nog steeds contact zoeken met de C&C.

Flashback heeft vele gezichten. De trojan steelt wachtwoorden, faciliteert spam, clickfraude, drive-by en DoS-aanvallen. De malware kan bovendien periodiek wisselen van domein, wat monitoring frustreert.

Sluimerende restanten

Daaruit blijkt dat er nog zeker 22.000 Flashback-Macs actief zijn. Ontdekker Arnaud Abbati van Mac-securityleverancier Intego schrijft in een blogpost dat Flashback ergens in het wild nog stilletjes actief is. Apple en andere beveiligingsonderzoekers volgen deze domeinen op de voet. Zij moeten echter voorkomen de C&C-servers terug in verkeerde handen komen.

Abbati: "Het ontwerp van Flashback is veelzijdig. Een vervelend stukje malware. Doordat het zelf-gecodeerd is en het met de UUID [ Universally Unique Identifier -red.] unieke informatie van geïnfecteerde machines doorstuurt naar de server, is het mogelijk dat er nu al varianten in het wild rondwaren. Daarom moeten volgens Intego ook nu nog alle Mac-gebruikers hun machines controleren.