Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

image

Теги: macOS, Mac, вредоносное ПО

В настоящее время большинство популярных антивирусов не способны обнаружить вредонос.

Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle) сообщил о новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger, заразивший миллионы компьютеров по всему миру в 2012 году.

DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

«Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки «человек посередине» (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц», - пояснил исследователь.

Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство описанных выше функций в неактивны.

Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение «Системные настройки» и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

Уордл также опубликовал инструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus