Analiza wykazała, że ponad 98 proc. zainfekowanych komputerów najprawdopodobniej działało pod kontrolą jednej z wersji systemu Mac OS X.
W celu zainfekowania komputerów ofiar stojący za botnetem cyberprzestępcy instalowali trojana Flashfake, który przeniknął do komputerów użytkowników bez ich wiedzy, wykorzystując znane od dawna luki w zabezpieczeniach Javy. Aby przeanalizować botnet, eksperci z Kaspersky Lab dokonali inżynierii wstecznej szkodliwego oprogramowania Flashfake i zarejestrowali kilka nazw domen, które mogły zostać wykorzystane przez przestępców jako serwer służący do zarządzania botnetem. Metoda ta pozwoliła im przechwytywać i analizować komunikację między zainfekowanymi komputerami a innymi serwerami kontrolowanymi przez cyberprzestępców.
Analiza wykazała, że botnet składa się z ponad 600 000 zainfekowanych maszyn, przy czym do najbardziej dotkniętych regionów należą Stany Zjednoczone (300 917 zainfekowanych komputerów), Kanada (94 625), Wielka Brytania (47 109) oraz Australia (41 600). Przy użyciu heurystycznej metody „OS fingerprinting" analitycy z Kaspersky Lab zdołali ustalić, jakie systemy operacyjne były wykorzystywane na zainfekowanych komputerach, i stwierdzili, że 98% najprawdopodobniej działało pod kontrolą systemu Mac OS X. Analitycy przypuszczają, że pozostałe 2% maszyn, na których zainstalowano bota, to również Maki.
Flashfake to rodzina szkodliwego oprogramowania dla systemu OS X, która po raz pierwszy pojawiła się we wrześniu 2011. W poprzednich wariantach szkodnika cyberprzestępcy wykorzystywali socjotechnikę w celu nakłonienia użytkowników do pobrania tego programu i zainstalowania go w swoich systemach. Jednak ostatnia wersja Flashfake'a nie wymaga żadnej interakcji ze strony użytkownika i jest instalowana za pośrednictwem ataku „drive-by download" (gdy ofiary nieświadomie odwiedzają zainfekowane strony), w wyniku czego trojan zostaje pobrany bezpośrednio na komputery ofiar za pośrednictwem luk w zabezpieczeniach Javy. Po infekcji trojan dostarcza dodatkową funkcję szkodliwą, która „porywa" wyniki wyszukiwania ofiar w ich przeglądarkach internetowych w celu przeprowadzenia dalszych oszustw.
Mimo że obecnie nie wykryto żadnych innych szkodliwych aktywności omawianego trojana, zagrożenie nadal jest poważne, ponieważ szkodnik ten działa jako tzw. downloader na komputerach użytkowników. Oznacza to, że cyberprzestępcy stojący za botnetem Flashfake mogą łatwo opublikować nowe uaktualnione szkodliwe oprogramowanie – potrafiące kraść poufne informacje, takie jak hasła czy dane dotyczące kart kredytowych – i zainstalować je na zainfekowanych maszynach.
