De Flashback-malware installeerde een ad-clicking-component op besmette OS X-systemen. Deze bekeek zoekopdrachten en routeerde verkeer via Google-advertenties. De malwareschrijvers verdienden naar schatting 10.000 dollar per dag.
Door het innestelen van een ad-clicking-component in Safari, Chrome of Firefox, konden alle GET- en POST-requests tussen de browser en de website worden onderschept. De malware richtte zich daarbij op zoektermen ingetikt bij Google om gebruikers de redirecten naar een bepaalde pagina. De hackers zouden 0,8 dollarcent per klik hebben gekregen. Met behulp van cijfers die Symantec verzamelde van een ander botnet maakte het beveiligingsbedrijf een extrapolatie naar een opbrengst van circa 10.000 dollar per dag voor de malwareschrijvers.
De onversleutelde data waarmee een klik wordt onderschept.
Samen met de gegevens over het doel van de malware heeft Symantec ook onderzocht hoe de malware functioneerde. Bij het bezoeken van een geïnfecteerde website, vaak gehackte Wordpress- en Joomla-websites, werd de browser van de gebruiker geredirect naar een exploit-site. Daar werd een lek in Java misbruikt om de malware te downloaden, waarna deze de ad-clicking-component binnenhaalde. Het botnet dat met de malware werd gevormd, kreeg vervolgens opdrachten door het afspeuren van Twitter naar bepaalde sleutelwoorden.
Vorige week werd nog bekend dat er nog meer dan een half miljoen geïnfecteerde macs waren. Eerdere cijfers meenden dat er een halvering van infecties had plaatsgevonden, maar die gegevens bleken incorrect te zijn. Oracle had een paar maanden geleden een patch uitgebracht voor de exploit die Apple begin vorige maand heeft gedicht. Volgens DrWeb, het Russische antivirusbedrijf dat de grootte van het botnet oorspronkelijk ontdekte, draaien bijna tweederde van de geïnfecteerde macs nog een 10.x-Darwin-kernel, wat de kernel van Snow Leopard is.
Een kwart van de systemen draait Leopard en maar tien procent van de geïnfecteerde systemen draaien de huidige Lion-release, wat volgens DrWeb komt door het ontbreken van Java in de standaardinstallatie. Het relatief hoge aantal Leopard-infecties komt waarschijnlijk door het gebrek aan patches van Apple voor de oudere versies van OS X.