2012年4月，卡巴斯基實驗室安全專家發表了一篇題為《Flashfake惡意軟體的解剖：第一部分》的文章，詳細分析了這款針對Mac OS X的惡意軟體的感染手段和傳播機制。通過分析，還原了Flashfake(又名Flashback)在今年4月底造成全球748,000台Mac OS X計算機受感染的過程。據了解，這款惡意軟體能夠劫持受感染計算機上的搜索結果，用來實施點擊詐騙。

　　近日，卡巴斯基實驗室的安全專家發佈了《Flashfake惡意軟體的解剖：第二部分》，詳細分析了該惡意軟體的附加功能，並對Flashfake背後的網絡罪犯所採用的技術手段進行了深度分析，揭示出其通過點擊詐騙獲取錢財的事實。

　　Flashfake惡意程序由多個組件構成，能夠將惡意代碼注入到受感染計算機的瀏覽器中。一旦惡意代碼被注入，會讓受感染計算機自動連接活動的Flashfake命令控制服務器(C&C)。當受害用戶使用Google搜索引擎瀏覽網頁時，頁面中的合法廣告和鏈結會被Flashfake命令控制中心的詐騙廣告和鏈結所取代。網絡罪犯會欺騙受害用戶點擊其中的詐騙廣告和鏈結賺取錢財。

　　2012年3月2017免费翻墙软件，Flashfake幕後的開發人員創建了一個包含更多功能的新版動態庫文件。值得注意的是，其中還包括一種新的利用Twitter搜索Flashfake命令控制服務器的手段以及一種假冒的Firefox瀏覽器插件。這款惡意插件會偽裝成Adobe Flash Player插件，但功能確是同命令控制服務器進行通訊，實施點擊詐騙。

　　卡巴斯基實驗室全球分析和研究團隊總監Costin Raiu解釋：“Flashfake是目前Mac OS X平台下傳播最為廣泛的惡意程序。這次大規模感染事件表明，Mac OS X平臺已經明確地成為網絡罪犯的攻擊目標。網絡罪犯不僅提升了攻擊手段，充分利用零日漏洞進行攻擊，還開發出具有抵抗性的惡意程序。Flashfake會檢查計算機上的反病毒解決方案，還集成了自我保護手段，採用加密連接同命令控制服務器進行通訊。此外，該惡意軟體採用了Twitter和Firefox插件等附加功能，同樣顯示出網絡罪犯為了提高這款惡意軟體的傳播範圍和效率，不惜花費大量時間和精力對其進行改進。”

　　雖然到4月底，Flashfake惡意軟體已經感染了超過748,000台Mac OS X計算機，但其組成的僵屍網絡規模已經顯著變小。到5月，活動的僵屍計算機數量約為112,528台。

　　網上傳播視聽節目許可證號 0102004新出網證（京）字098號中國互聯網視聽節目服務自律公約