Poprzedni Następny

Pierwszy nowy malware na systemy macOS w 2018 roku

W piątek 12 stycznia 2018 roku Patrick Wardle opublikował raport o nieznanym złośliwym oprogramowaniu na macOs o nazwie roboczej MaMi. Nie jest znany sposób rozprzestrzeniania się złośliwego oprogramowania, ale znana jest jego działanie. Działalność malware jest subtelne, bezobjawowa i …  niezwykle groźne. Sprowadza się do podmienienia serwerów DNS na zarażonej stacji, tak by domyślnymi serwerami DNS były 82.163.143․135 i 82.163.142․137. Dodaje również do przeglądarki nowego zaufanego urzędu certykującego claudguard.me.

Jakie możliwości dawało to atakującym

Wyobraźmy sobie, że z zarażonego komputera logujemy się do swojego ulubionego banku. Wpisujemy poprawny adres www banku, przezornie sprawdzamy czy strona autoryzowana jest akceptowanym certyfikatem (zielona kłódka) i dopiero wtedy wpisujemy swój login i hasło… który momentalnie trafia do przestępców.

Jak działa taki atak „Main in The Middle”

Użytkownik Mac-a wpisuje adres www banku, a następnie komputer łączy się z podmienionym przez złośliwe oprogramowanie serwerem DNS, który przekierowuje na fałszywą stronę banku. Przeglądarka nawiązuje połączenie szyfrowane z podmienioną stroną, ale ponieważ jest ona podpisana certyfikatem dodanym do zaufanej listy widzimy zieloną kłódkę i przeglądarka w żaden sposób nie ostrzega o możliwości podmiany strony.

Czy właśnie ofiarą MaMi padli klienci BlackWallet.co, tracąc w sumie 1400 000 zł (pisaliśmy o tym w materiale Inwestorzy okradzeni na łączną kwotę 1 400 000 zł)? Niestety nie możemy ani potwierdzić, ani zaprzeczyć takim domysłom, ponieważ wykrycie malware MaMi nastąpiło tak niedawno, że nie znamy skali i zakresu wykorzystania go przez przestępców. Na koniec zostawiliśmy najważniejsze czyli jak sprawdzić czy jesteśmy zarażeni i co zrobić w przypadku potencjalnej infekcji. W celu wykrycia MaMi  wystarczy sprawdzić czy w naszej przeglądarce na liście zaufanych urzędów certyfikacyjnych występuje claudguard.me lub czy w naszej lokalnej liście DNS znajdują się dowolne serwery o adresie 82.163.*. W przypadku infekcji odkrywca złośliwego oprogramowania sugeruje pełne przeinstalowanie macOS-a.

 

Źródło: https://www.intego.com/mac-security-blog/ay-mami-new-dns-hijacking-mac-malware-discovered/