Nul
Malwarebytes
Een onderzoeker heeft ontdekt dat er een stam van malware in het wild die gericht is op het Mac OS X-gebruikers.
De malware, genaamd MaMi, werd voor het eerst gespot door security-onderzoeker Patrick Wardle.
De onderzoeker zag een forum post op Malwarebytes waarin een gebruiker zei een collega “per ongeluk geïnstalleerd iets” en dit leidde tot DNS-kaping.
Ondanks de gebruiker het verwijderen van de DNS entries, het adres verandert, 82.163.143.172 en 82.163.142.174, bleef hardnekkig.
De enige indicator gespot door Malwarebytes software bij de tijd werd gerapporteerd als “MyCoupon” software, die vaak wordt aangeduid als nuisanceware. Echter, het kapen van DNS-vermeldingen gesuggereerd dat er iets meer sinister aan de hand was.
MaMi is niet verfijnd. De unsigned Mach-O 64-bit uitvoerbaar is gemarkeerd als app versie 1.1.0, dat suggereert dat de malware is vers van de ontwikkeling.
Echter, de schepper van MaMi heeft opgenomen functionaliteit, zoals DNS-kaping, schermafdruk opslaan, generatie van gesimuleerde muis gebeurtenissen, het downloaden en uploaden van bestanden, het uitvoeren van willekeurige code uit, en kan ook bestaan in een enkel item.
In een blog post, Wardle zei dat terwijl infectie methoden blijft een mysterie, de malware wordt gehost op een aantal domeinen.
De onderzoeker vond het een ‘triviale’ affaire aan het decoderen van de malware de configuratie en ontdekt MaMi ook voor het installeren van een certificaat door de Keychain Access-app, die het mogelijk maken voor de-Man-in-The-Middle-aanvallen (MiTM).
Na raadpleging van een andere onderzoeker, een artikel met de titel “het mysterie van De 82.163.143.172 en 82.163.142.174, in verband met de gekaapte DNS-adressen, kwam aan het licht.
Zie ook: Kijk uit voor dit geld stelen van macOS malware die bootst uw online bank
Dit onderzoek heeft geleid tot de theorie dat MaMi malware is een rehash van de 2015 op basis van Windows DNSUnlocker malware die is bekend in het verleden te kapen DNS-adressen op het Windows-besturingssysteem.
“OSX/MaMi is niet bijzonder geavanceerd — maar doet veranderen geïnfecteerde systemen in plaats van vervelende en hardnekkige manieren,” de onderzoeker genoteerd. “Door het installeren van een nieuwe root certificaat en het kapen van de DNS-servers van de aanvallers kunnen uitvoeren van een verscheidenheid van misdadige acties, zoals man-in-the-middle’ ing verkeer (misschien te stelen referenties, of injecteren van advertenties).”
Op het moment van de blog post, alle 59 motoren op VirusTotal gemarkeerde bestand op als “schoon.” Echter, antivirus producten zijn nu begonnen te detecteren en blokkeren van de malware, en 26 van de 59 motoren blok MaMi malware infecteert OS X-systemen.
Vorige en aanverwante dekking
Mac os x Trojan malware verspreid via gecompromitteerde software downloads Justitie Dept. indicts Ohio hacker voor het schrijven van Drosophila malware te bespioneren duizenden Mac-gebruikers Gebrekkig Apple Mac de firmware updates kunnen laten hen kwetsbaar voor aanvallen
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters
0