Din Mac-computer misbruges måske i enormt botnet

Adskillige sikkerhedsfirmaet advarer om et botnet på Mac OS X af hidtil uhørt omfang. Se her, hvordan botnettet er opstået.

Artikel top billede

Computerworld News Service: Mere end 600.000 Mac-computere kan være koblet sammen til et stort botnet, lyder det fra det russiske it-sikkerhedsfirma, Doctor Web.

De store sikkerhedsfirmaer er enige i vurderingen. 

"Selv om tallet er meget stort, så lader det til at være korrekt," siger Roel Schouwenberg, der er senior researcher hos den russiske producent af antivirussoftware Kaspersky Lab.

Han tilføjer, at den metode, som det mindre kendte russiske it-sikkerhedsfirma Doctor Web anvender, ser ud til at være velfunderet.

Onsdag i sidste uge offentliggjorde Doctor Web det estimat, at mere end en halv million Mac-computere er inficeret med trojaneren Flashback.

Største botnet på Mac

Trojaneren installeres via et såkaldt drive by-angreb, der foregår ved, at brugerne blot besøger et kompromitteret website.

Alle disse inficerede computere kaldes samlet et botnet og udgør således det største botnet på Mac.

Det lykkedes Doctor Web at "sinkhole" en del af Flashback-botnettet - det vil sige at kapre nogle af de domæner, der bruges til at udsende kommandoer til de inficerede computere - og beregnede botnettets samlede størrelse ved at tælle UUID'er (universally unique identifiers), som Mac OS X oplyser til kontrolserverne.

Dagen efter hævede Doctor Web estimatet til lige over 613.000 individuelle Mac-computere.

Flere botnet bestående af Windows-pc'er har været langt større - Conficker kaprede for eksempel millioner af maskiner - men størrelsen af dette Flashback-botnet er uden fortilfælde på Mac OS X.

Der er sandsynligvis ikke grund til at betvivle det estimerede antal inficerede Macs, påpeger adskillige eksperter, der arbejder i it-sikkerhedsbranchen, i interviews foretaget i sidste uge af Computerworlds amerikanske søstermedie.

Den vurdering bakkes op af forskellige omstændigheder, der alle tyder på, at Flashback meget vel kan have været så succesfuld.

Derfor kunne det gå så galt

Blandt disse indicier fremhæver eksperterne Flashback-bagmændenes udnyttelse af en 0-dagssårbarhed i Java, som først blev rettet af Apple i sidste uge, deres anvendte taktik samt tilgængeligheden af webbaserede hackerværktøjer, der er uafhængige af styresystem.

"Der skete en masse ting på samme tid," siger Mike Geide, der er senior security researcher hos Zscaler ThreatLabZ.

"Der har været masse-kompromitteringer af websites baseret på WordPress, hvor kontrolserverne passer på den domænestruktur, som Doctor Web beskriver. Det har foregået i hvert fald siden først i marts."

Omdirigeret

WordPress er et populært open source CMS og blogging-platform, der anvendes af omtrent hvert syvende website.

De kompromitterede WordPress-websites har omdirigeret brugerne til skadelige URL'er, hvor hackere har hostet exploit-kittet Blackhole.

Blackhole forsøger en række forskellige angreb, heriblandt adskillige der udnytter fejl i Java på Mac.

Det er det meget store antal websites baseret på WordPress samt omfanget af hacker-kampagnen mod disse websites, der gør det teoretisk muligt for hackerne at have inficeret flere end 600.000 Mac-computere.

"Det er et helt rimeligt estimat," siger Brett Stone-Gross, der er security researcher i Counter Threat Unit hos Dell SecureWorks, der er kendt for sin ekspertise inden for botnets.

"Jeg er faktisk overrasket over, at Macs ikke oftere er mål for angreb," tilføjer Stone-Gross.

Inkluderer exploits

"De tilgængelige værktøjer inkluderer exploits, der let kan modificeres til at fungere mod ethvert styresystem og i særlig grad styresystemer med sårbarheder i Java, Flash Player og anden software, der kører på ethvert styresystem. De er alle sårbare overfor de samme angreb."

Ingen af de interviewede eksperter eller virksomheder kunne dog endegyldigt bekræfte Doctor Webs estimat.

Det ville kræve den samme form for adgang til Flashbacks såkaldte command and control-infrastruktur, som det russiske firma hævder at have opnået.

Men adskillige virksomheder heriblandt Kaspersky, SecureWorks og Symantec oplyser at arbejde på sagen.

"Med et sinkhole kan man danne sig et mere detaljeret billede af botnettets størrelse," fortæller Liam O Murchu, der er chef hos Symantecs security response-team.

"Men der er også andre måder, som vi kan bruge til at få noget at vide om sådanne store botnet."

Måske også Windows-bots

Det er dog ikke alle eksperter, der bakker uforbeholdent op om Doctor Webs estimat.

"Vi er ikke sikre på, at alle 500K Flashback-bots er Mac-brugere," skriver Aleks Gostov, der er chief security expert hos Kaspersky, på Twitter.

"Jeg har en mistanke om, at der også er Windows-bots med i billedet."

Gostov baserer tilsyneladende denne mistanke på, at Windows oplyser GUID'er (globally unique identifiers), hvilket er Microsofts implementering af UUID-standarden.

Hvis Doctor Web ikke har været i stand til korrekt at analysere den hexadecimale streng, der repræsenterer GUID/UUID, så kan firmaet uforvarende have talt Windows-pc'er med i det estimerede antal Mac-computere.

Oversat af Thomas Bøndergaard

Annonceindlæg fra Computerworld

AI skal frigøre tid og skabe nærvær i samtalen med borgeren

Flere kommuner går nu i gang med at bruge AI-understøttet dokumentation. Målet er, at sagsbehandlere skal bruge mindre tid på referater og registrering – og mere tid på nærvær i mødet med borgeren.

Navnenyt fra it-Danmark

WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

Tim Meicker

WITRICS A/S

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S