MaMi malware mål Mac OS X DNS-inställningar

0
111

Noll

credmalwarebytesmac.jpg
Malwarebytes

Forskare har upptäckt en typ av skadlig kod i naturen som mål Mac OS X-användare.

Malware, dubbade MaMi, blev först upptäckt av säkerhet forskaren Patrick Wardle.

Forskaren såg ett inlägg i ett forum på Malwarebytes som en användare sa en kollega “av misstag installerat något” och detta ledde till att DNS-kapning.

Trots användaren att ta bort DNS-poster, adress ändringar, 82.163.143.172 och 82.163.142.174, förblev bestående.

Den enda indikatorn fläckig av Malwarebytes programvara på den tiden rapporterades som “MyCoupon” programvara, som ofta är märkta som nuisanceware. Dock kapa av DNS-poster föreslog att något mer olycksbådande var som hände.

MaMi är inte sofistikerad. Osignerade Mach-O 64-bitars körbara har markerats som app version 1.1.0, vilket tyder på att skadlig kod är frisk från utveckling.

Men, skaparen av MaMi har ingår funktionalitet, inklusive DNS-kapning, skärmdump fånga, generation av simulerade musen händelser, nedladdning och uppladdning av filer, exekvering av godtycklig kod, och kan också kvarstå som en lansering punkt.

I ett blogginlägg, Wardle sade att medan infektion metoder att förbli ett mysterium, malware är värd på ett antal områden.

Forskaren fann att det ska vara en “trivial” affär för att dekryptera skadlig kod konfiguration data och upptäckte MaMi också installerar ett certifikat genom Keychain Access-app, som skulle göra det möjligt för Man-in-The-Middle-attacker (MiTM).

Efter att ha hört en annan forskare, en artikel med titeln, “The mystery of 82.163.143.172 och 82.163.142.174, som är relaterade till den kapade DNS-adresser, kom till ljus.

Se även: Se upp för dessa pengar att stjäla macOS skadlig kod som efterliknar din internet-bank

Denna forskning har skapat teorin att MaMi malware är ett uppkok av 2015 Windows-baserade DNSUnlocker skadlig kod som har varit känd i det förflutna för att kapa DNS-adresser i Windows-operativsystem.

“OSX/MaMi är inte särskilt avancerad-men inte ändra infekterade system i ganska otäck och ihållande sätt,” forskaren noteras. “Genom att installera ett nytt root-certifikat och kapning av DNS-servrar, angripare kan utföra en mängd olika åtgärder som man-in-the-middle’ ing trafik (kanske för att stjäla inloggningsuppgifter, eller injicera annonser).”

Vid tiden för blogg inlägg, alla 59 motorer på VirusTotal markerade filen som “ren”. Men, antivirus-produkter har nu börjat att upptäcka och blockera det skadliga programmet, och 26 av 59 motorer kommer att blockera MaMi skadlig programvara kommer in i OS X-system.

Tidigare och relaterade täckning

Mac OSX Trojan skadlig kod sprids via äventyras nedladdningar Rättvisa Dept. anklagar Ohio hacker för att skriva Fruitfly malware för att spionera på tusentals av Mac-användare Bristfällig Apple Mac firmware-uppdateringar kan lämna dem sårbara för angrepp

Relaterade Ämnen:

Apple

Säkerhet-TV

Hantering Av Data

CXO

Datacenter

0