| 15 янв 2018 — 15:15 PT
macOS от Apple, как сообщается, стал мишенью для новой уязвимости, угоняющей DNS. Как отмечает The Hacker News, этот вредоносный софт сравнивают с трояном DNSChange, который в 2011 году затронул более четырех миллионов компьютеров…
Подобный вредоносный софт работает путем изменения настроек DNS-сервера на зараженных компьютерах, тем самым перенаправляя трафик через вредоносные серверы и регистрируя конфиденциальные данные в процессе. Эта новая версия известна как OSX/MaMi.
Сведения об этом вредоносном софте впервые появились на форуме Malwarebytes, что побудило бывшего хакера АНБ Патрика Уордла провести глубокое исследование. Уордл обнаружил, что вредоносный софт действительно угоняет DNS, но также устанавливает новый корневой сертификат для перехвата зашифрованных коммуникаций.
«OSX/MaMi не является особенно продвинутым, но изменяет зараженные системы довольно неприятным и настойчивым образом», — пишет Уордл.
«Устанавливая новый корневой сертификат и угоняя DNS-серверы, злоумышленники могут выполнять различные злонамеренные действия, такие как перехват трафика (возможно, для кражи учетных данных или внедрения рекламы)» или внедрение скриптов для майнинга криптовалют в веб-страницы.
Кроме того, возможности вредоносного софта распространяются на такие действия, как генерация событий мыши, снятие снимков экрана и многое другое:
- Снятие снимков экрана
- Генерация симулированных событий мыши
- Возможно, сохранение в качестве элемента автозапуска (runAtLoad)
- Загрузка и выгрузка файлов
- Выполнение команд
Мы все еще многого не знаем об этой атаке. Например, конкретная информация о том, как она распространяется, остается неясной. Однако Уордл предполагает, что злоумышленники могут использовать довольно простые методы, такие как вредоносные электронные письма и поддельные оповещения безопасности и всплывающие окна.
В настоящее время вы можете проверить, не подверглись ли вы атаке, открыв «Системные настройки», перейдя в меню «Сеть», выбрав «Дополнительно» и перейдя в меню DNS. В этом меню обратите внимание на адреса 82.163.143.135 и 82.163.142.137.
Важно отметить, что на данный момент антивирусные программы не обнаруживают этот вредоносный софт:
Как это часто бывает с новым вредоносным программным обеспечением, в настоящее время он помечен как «чистый» всеми 59 движками на VirusTotal (надеемся, это скоро изменится, поскольку антивирусные программы начнут добавлять обнаружение).
Кроме того, Уордл выпустит бесплатный межсетевой экран с открытым исходным кодом для macOS под названием Lulu, который предотвращает кражу ваших данных вредоносным софтом OSX/MaMi. Гораздо больше информации от Уордла доступно здесь.
Подпишитесь на 9to5Mac на YouTube, чтобы получать больше новостей об Apple: