El origen del troyano Flashback en Mac probablemente fue un conjunto de blogs WordPress estadounidenses secuestrados para obligar a los visitantes a que se dirigieran a sitios malware, reveló investigación de Kaspersky Lab.

Como han señalado varias fuentes, entre septiembre de 2011 y febrero de este año, el programa malicioso se distribuyó mediante ataques de ingeniería social que pedían a los usuarios descargar un falso Adobe Flash Player plugin.

A finales de febrero, esta estrategia cambió gracias a un nuevo programa que distribuye el malware como un ataque drive-by aprovechando tres vulnerabilidades comunes de Java a través de sitios web comprometidos.

El cambio de estrategia ha dado frutos, infectando a 744,000 usuarios de OS X de acuerdo a cifras de Kaspersky tomadas de IPs individuales que se conectan a su sitio con flashback (o 'Flashflake').

Websense ha estimado que el número de sitios infectados de WordPress es de 30,000, mientras que otros dan cifras más elevadas como 100,000. Sin embargo, lo más importante es que la gran mayoría (85%) se ubica en los Estados Unidos. Esto podría explicar las cifras de infección excepcionalmente altas entre los de usuarios de Mac en Norte América, los cuales representaron el 78% de las bots encontradas por Kaspersky.

Algunos de los sitios utilizados para alojar el ataque pudieron haber sido infectados debido a que administradores ingenuos instalaron una utilidad maliciosa en WordPress, ToolsPack. Ésta inserta un script en el sitio, capaz de redirigir a usuarios vulnerables a un sitio con malware.

Kaspersky informa que 205,622 usuarios de Mac han revisado sus equipos en el sitio web flashbackcheck.com, resultando infectados 3,624 de ellos, una tasa de malware debajo del 2%. El número global de infecciones ha disminuido rápidamente desde la semana pasada.

"Apple no está acostumbrada a reaccionar ante este tipo de ataque", dijo el investigador de Kaspersky, Vicente Díaz.

La compañía tenía la costumbre de escribir sus propios parches para las vulnerabilidades de Java en lugar de simplemente aplicar aquellos que vienen de Oracle. En el caso de Flashback, esto provocó retrasos en la aplicación de estos parches, comentó.

"La  invulnerabilidad de Mac OS es un mito."

Los criminales son ahora capaces de atacar a los sistemas OS X usando malware multi-plataforma (con Java por ejemplo) reusando los del mundo de la PC. Los usuarios de Mac son un objetivo atractivo y su base de usuarios debe esperar más ataques durante el año 2012 a pesar de la aparición del Apple's GateKeeper security en Mountain Lion.