Nytt år er tiden for ny begynnelse og læringsopplevelser! Med denne tanken ser det ut til at hackere har bestemt seg for å bryte ny grunn med et ekkelt stykke uoppdagelig skadelig programvare.
Patrick Wardle, en Apple-sentrisk sikkerhetsforsker, har oppdaget en ny trussel rettet mot Mac OSX kalt MaMi malware. Denne trusselen ligner den populære DNS-veksler-malwaren som infiserte millioner av systemer i 2012.
DNS-veksler utførte angrepet ved å endre DNS-innstillinger på kompromitterte maskiner, slik at angriperen kan dirigere internettrafikk gjennom ekkel server og fange opp konfidensiell informasjon .
“Siden det allerede er flere (ikke-relaterte IMHO) skadevareeksemplarer som utfører DNS-kapring (som heter 'DNSChanger' osv.), bestemte jeg meg for å kalle OSX/MaMi på grunn av en kjerneklasse for skadelig programvare named: 'SBMaMiSettings' ” skrev Wardle.
MaMi malware er utviklet for å kapre DNS-innstillinger på Mac OS-enheter, stjele personlig og konfidensiell brukerinformasjon uten å bli oppdaget. Den er usignert Mach-O-64-biters kjørbar
Les også: - Topp 3 nylige Mac-malware truende sikkerhet Visste du om disse tre Mac-malware som truer din digitale sikkerhet? Les for å vite mer om...Hvordan ble skadelig programvare oppdaget?
Utvalget av MaMi-malware ble hentet etter at en bruker rapporterte om en infeksjon på Malwarebytes-forumet. Han nevnte at Mac-en til læreren hans var infisert da DNS-serveren ble tilbakestilt automatisk til 82.163.143.138 og 82.163.142.137.
Img src: securityaffairs.co
Da trusselen ble oppdaget, ble det funnet at den ikke blir oppdaget på alle motorer hos VirusTotal, noe som betyr at den er veldig avansert. Men det er ikke tilfelle som kommentert av forskeren, trusselen har evnen til å endre infiserte systemer på støtende og målbevisste måter.
Hvordan fungerer den ondsinnede koden?Den ondsinnede koden installerer et nytt rotsertifikat og kaprer DNS-serveren som hjelper angriperen med å utføre en rekke ondsinnede aktiviteter som mann i midten angrep for å stjele personlig informasjon eller injisere annonser.
Wardle,"Ved å installere et nytt rotsertifikat og kapre DNS-serverne, kan angriperne utføre en rekke uhyggelige handlinger som for eksempel menneske-i-midten-trafikk (kanskje for å stjele legitimasjon eller injisere annonser)."
MaMi fungerer som en DNS-kaprer og kan utføre følgende handlinger, men de fleste av dem er ikke tilgjengelige i gjeldende versjon 1.1.1:
Den ekle koden ble oppdaget på forskjellige nettsteder, men kilden eller distribusjonskanalen er fortsatt ukjent. Det ser ut til at utvikleren bruker en gammel metode for å spre infeksjon, dvs. e-poster, falske sikkerhetsvarsler og popup-vinduer på nettsteder, eller angrep fra sosiale ingeniører.
Når Mac-systemet er infisert av MaMi, kontrollerer det sikkerhetsverktøyet og bruker det til å installere et nytt sertifikat (dcdata.bin) som er lastet ned fra internett.
“Ved å installere et nytt rotsertifikat og kapre DNS-serverne, kan angriperne utføre en rekke ondsinnede handlinger som f.eks. -i-midttrafikk (kanskje for å stjele legitimasjon eller injisere annonser).» forklart Wardle.
Hvordan sjekke om Mac OS er infisert?For å sjekke om maskinen din er infisert, gå til terminal via Systemvalg og sjekk DNS-serverkoden, hvis de er satt til 82.163.148.135 og 82.163.142.137, er den infisert.
Hvordan holde seg beskyttet?
For tiden kan ingen av antivirusprogramvarene oppdage skadelig programvare, derfor må du være ekstra forsiktig. For å holde deg beskyttet må du huske på følgende punkter:
Disse enkle måtene vil hjelpe deg å holde deg beskyttet, også denne trusselen er laget spesielt for Mac OS. Så foreløpig trenger ikke Windows-brukere å bekymre seg. Dette er et alvorlig angrep siden det ikke kan oppdages. Cyberwarfare er den fremvoksende krigsfronten i det 21. århundre, derfor må vi få kunnskap for å holde oss beskyttet mot den. MAMI malware viser tydelig hvor sofistikerte hackerne er i ferd med å bli. OS som var idiotsikkert fra trusler har nå blitt favorittmålet. Dette er bare et glimt av hva hackere har for oss dette nye året.
Les: 0
