当前位置:安全资讯 >> 全文

警告:“妈咪 (MaMi)”恶意软件瞄准 macOS 用户,劫持 DNS 设置

发布时间:2018-1-15 20:34 标签: 恶意软件,macOS
分享到 0

一名研究员披露了一款无法检测到的恶意软件OSX/MaMi,它针对的是苹果的 Mac 计算机,是2018年开年以来的首款 macOS 恶意软件。

更改 DNS 设置

OSX/妈咪是一款未签名的 Mach-O 64位可执行文件,从某种程度上讲类似于在2012年感染全球数百万台计算机的 DNSChanger 恶意软件。

DNSChanger 恶意软件一般更改受感染计算机中的 DNS 服务器设置,导致攻击者将互联网流量路由至恶意服务器并拦截敏感信息。

OSX/妈咪首次现身于 Malwarebytes 论坛上,一名用户贴出一个查询称自己朋友的电脑受感染,macOS 上的 DNS 设置被更改为 82.163.143.135 82.163.142.137 地址。

实施多种恶意行为

曾在 NSA 工作的黑客 Patrick Wardle 分析后发现它确实是一个“DNS 劫持器”,会调用安全工具安装一款新的工具根证书试图拦截加密通信。Wardle 表示,“OSX/MaMi 并不特别先进,不过确实以恶意且持续的方式更改受感染系统。通过安装一款新的 root 证书并劫持 DNS 服务器,攻击者能执行多种恶意行为如中间人流量 (可能是为了窃取凭证或注入广告)”,或者将密币挖矿脚本插入网页。

除此以外,OSX/妈咪似乎在初始阶段还具有如下功能,其中多数功能并未在版本 1.1.0 中激活:

l  截屏

l  生成同步鼠标事件

l  可能作为启动项目持续存在

l  下载并上传文件

l  执行命令

目前尚不知晓恶意软件作者的动机。

然而,Patrick 认为攻击者可能使用低端的方法如恶意邮件、基于 web 的虚假安全警告/弹出消息或者社工攻击 Mac 用户。

用户可通过“系统偏好”app 检查自己的 DNS 设置是否被更改,尤其是更改为82.163.143.135 82.163.142.137 地址来检测是否受“妈咪”恶意软件感染。

安全建议

VirusTotal 的扫描结果来看,目前59款流行反病毒恶意软件均未检测出“妈咪”恶意软件,因此建议用户使用第三方工具如防火墙检测并拦截流量。用户也可安装由 Patrick 创建的 macOS 版的开源防火墙 “LuLu” 拦截可疑流量并阻止“妈咪”恶意软件窃取数据。

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://thehackernews.com/2018/01/macos-dns-hijacker.html
参与讨论,请先 登录 | 注册

用户评论