Nul
Malwarebytes
En forsker har opdaget en stamme af malware i naturen, som er rettet mod Mac OS X-brugere.
Den malware, døbt MaMi, blev første gang opdaget af sikkerhedsekspert Patrick Wardle.
Forskeren opdagede en forum post på Malwarebytes, som en bruger sagde en kollega “ved et uheld installeret noget”, og dette førte til, at DNS-hijacking.
Til trods for brugeren at fjerne DNS-poster, adresse ændringer, 82.163.143.172 og 82.163.142.174, forblev vedvarende.
Den eneste indikator, spottet af Malwarebytes software på det tidspunkt blev rapporteret som “MyCoupon” software, som ofte er mærket som nuisanceware. Men kapre af DNS-poster, der foreslog, at noget mere dystert var, der skete.
MaMi er ikke sofistikerede. Unsigned Mach-O 64-bit eksekverbare har været markeret som app-version 1.1.0, hvilket antyder, den malware, der er frisk fra udvikling.
Men skaberen af MaMi har medtaget funktionalitet, herunder DNS-kapring, screenshot, generation af simulerede mus begivenheder, download og upload af filer, udførelse af vilkårlig kode, og kan også stadig som en start punkt.
I et blog-indlæg, Wardle sagde, at mens infektion metoder forblive et mysterium, den malware, der er hostet på en række områder.
Forskeren fandt det at være en “triviel” affære at dekryptere malware konfiguration data og opdagede, MaMi også installerer et certifikat gennem Nøglering Adgang app, som vil give mulighed for Man-in-The-Middle-angreb (MiTM).
Efter høring af en anden forsker, en artikel med titlen, “mysteriet om 82.163.143.172 og 82.163.142.174, der er relateret til kapret DNS-adresser, kom for dagens lys.
Se også: Watch out for disse penge at stjæle macOS malware, som efterligner din online-bank
Denne forskning har skabt den teori, at MaMi malware er et opkog af 2015 Windows-baseret DNSUnlocker malware, som har været kendt i fortiden for at kapre DNS-adresser på Windows-operativsystemet.
“OSX/MaMi er ikke særligt avanceret-men ikke ændre de inficerede systemer i temmelig grim og vedvarende måder,” forsker er angivet. “Ved at installere et nyt root certifikat og kapring de DNS-servere, angriberne kan udføre en bred vifte af forbryderiske handlinger, som man-in-the-middle’ ing trafik (måske for at stjæle legitimationsoplysninger, eller injicere annoncer).”
På den tid af blog-indlæg, alle 59 motorer på VirusTotal markerede fil som “rene”. Men, antivirus-produkter er nu begyndt at opdage og blokere malware, og 26 ud af de 59 motorer vil blokere MaMi malware på OS X-systemer.
Tidligere og relaterede dækning
Mac OSX Trojan, malware spredes via kompromitteret software downloads Retfærdighed Dept. indicts Ohio hacker for at skrive Fruitfly malware til at spionere på tusindvis af Mac-brugere Mangelfuld Apple Mac til firmware-opdateringer, kan de efterlade dem sårbare over for angreb
Relaterede Emner:
Apple
Sikkerhed-TV
Data Management
CXO
Datacentre
0