Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

Новое опасное вредоносное ПО OSX/MaMi атакует пользователей Mac

Исследователь безопасности из компании Objective-see Патрик Уордл (Patrick Wardle) сообщил о новом опасном вредоносном ПО, названном OSX/MaMi, предназначенном для компьютеров под управлением macOS. По словам эксперта, пока что данное ПО остается невидимым для большинства популярных антивирусов.

 OSX/MaMi представляет собой неподписанный 64-битный исполняемый файл Mach-O. Программа несколько напоминает вредонос DNSChanger, заразивший миллионы компьютеров по всему миру в 2012 году.

 DNSChanger изменяет параметры DNS-сервера на зараженных компьютерах, позволяя злоумышленникам маршрутизировать интернет-трафик через вредоносные серверы и перехватывать конфиденциальную информацию.

 Впервые об OSX/MaMi стало известно из сообщения одного из пользователей форума Malwarebytes, рассказавшего о неизвестном вредоносном ПО, заразившем компьютер его друга. Программа тайно изменила настройки DNS на зараженном компьютере на адреса 82.163.143.135 и 82.163.142.137. Прочитав данное сообщение, Уордл проанализировал вредоносное ПО и выяснил, что оно действительно очень схоже по принципу работы с DNS Hijacker, однако данный вредонос также способен использовать решения безопасности компьютера для установки нового корневого сертификата, позволяя OSX/MaMi перехватывать зашифрованный трафик.

 "Установив новый корневой сертификат и захватив DNS-серверы, злоумышленники могут выполнять множество вредоносных действий, например, осуществлять атаки "человек посередине" (для кражи учетных данных или размещения нежелательной рекламы) или для внедрения майнеров криптовалюты в скрипты web-страниц", - пояснил исследователь.

 Помимо этого, вредонос также имеет функции создания снимков экрана, симулирования нажатий и передвижений мыши, загрузки файлов, автоматического запуска при старте ОС и выполнения команд. В настоящее время программа находится на ранних стадиях разработки и большинство опеисанных выше функций в неактивны.

 Мотивы авторов вредоноса и способ его распространения в настоящее время неизвестны. Как предположил Уордл, злоумышленники могут использовать хорошо известные методы, такие как вредоносные электронные письма, фальшивые оповещения безопасности, а также методы социальной инженерии.

 Для того чтобы проверить, заражен ли компьютер данным вредоносным ПО, пользователю необходимо зайти в терминал через приложение "Системные настройки" и проверить настройки DNS, в частности на предмет наличия адресов 82.163.143.135 и 82.163.142.137.

 Согласно данным сканера VirusTotal, в настоящее время ни один из 59 популярных антивирусов не способен обнаружить OSX/MaMi.

 Уордл также опубликовал инструмент под названием LuLu, позволяющий заблокировать подозрительный трафик и предотвратить хищение данных.

Securitylab