A empresa de segurança Intego afirma ter descoberto uma nova variação do malware Flashback que consegue se instalar em um Mac sem precisa de uma senha, além de burlar a ferramenta XProtect, da Apple, que foi lançada em 2011 para barrar o malware Mac Defender.

“É uma instalação completamente silenciosa agora. Já vimos instalações silenciosas antes no OS X, mas essa é a primeira vez que vemos algo dessa extensão”, afirmou a pesquisadora da Intego, Lysa Myers.

Essa nova versão, chamada de Flashback S, continua explorando a mesma vulnerabilidade Java, mas foi melhorada para escapar da XProtect, de acordo com o pesquisador da empresa de segurança Sophos, Chester Wisniewski.

O XProtect se baseia nas “impressões digitais” exatas do malware. O site especializado Security Watch destaca que no ano passado, quando a Apple atualizou sua assinatura do XProtect, os criadores de malware simplesmente ajustaram o Mac Defender para burlarem a proteção.

O post no site também critica a Apple por proteger apenas os usuários do Lion e Snow Leopard. Usuários de versões mais antigas do OS X recebem o conselho de apenas desabilitar o Java em suas máquinas.

O Flashback.S joga dois arquivos na pasta home do usuário nos seguintes locais:

~/Library/LaunchAgents/com.java.update.plist

~/.jupdate

Uma vez instalado, o malware apaga os arquivos Java em cache para evitar a detecção ou recuperação de amostra, afirma a Intego.

A Sophos afirma que a diferença entre o Flashback.S e a versão anterior do Trojan é tão pequena que os produtos da própria empresa e de outras fabricantes de antivírus para Mac ainda irão detectá-lo.

O Flashback infectou mais de 600 mil Macs até o momento, de acordo com empresas como Intego e Kaspersky.

Apesar de a Symantec ter afirmado recentemente que o número de Macs infectados já estaria abaixo dos 300 mil, a empresa russa Dr. Web (que informou a infecção em massa pela primeira vez) alega que o Flashback ainda está presente em cerca de 650 mil computadores da Apple.

Vale lembrar que a Kaspersky lançou recentemente uma ferramenta gratuita que verifica se o seu Mac está infectado e corrige o problema. Além disso, a Intego afirma que seu produto Virus Barrier (com os 30 primeiros grátis) oferece proteção até para a versão mais recente do Flashback.