發現針對 Mac 電腦的新型域名劫持惡意軟體 OSX / MaMi

作者 | 發布日期 2018 年 02 月 01 日 8:00 | 分類 資訊安全 , 軟體、系統 follow us in feedly

2018 年第一個月,macOS 就被發現一個新的域名劫持病毒──OSX / MaMi,它是無簽署的 Mach-O 64 位元可執行程式碼,功能類似 2012 年感染全世界數百萬台電腦的 DNSChanger2。這種病毒會修改受感染電腦的 DNS 域名伺服器設定,使攻擊者把受害者的網路連線轉通過惡意伺服器路上網,且從中攔截敏感資訊。



這個故事開始於 Malwarebytes 論壇。有一位用戶發出求救諮詢,因為他的女老師同事意外安裝到不明軟體,事後發現應該是被感染電腦病毒了。這病毒會無聲無息把女老師 Mac 電腦的 DNS 設定改為 82.163.143.135 和 82.163.142.137 的 IP 網址,且就算你自己改回來,惡意軟體還是會再偷偷改回去,讓受害者繼續連到冒牌網站,持續置身於訊息洩漏的危機中。

用戶發文以後,前 NSA 白帽駭客派翠克‧沃爾德(Patrick Wardle)分析了這款惡意軟體,發現它確實是新的「DNS Hijacker」(DNS 域名劫持者),甚至還能呼叫安全工具給自己安裝新的 root 憑證,試圖攔截加密通訊。

沃爾德說:「OSX / MaMi 並不是特別先進,但卻以相當惡劣和長期持續的方式改變被感染的系統。藉由安裝新的 root 憑證並劫持 DNS 伺服器,攻擊者可執行各種各樣惡意行為,例如中間人攻擊(可能是竊取識別資料或植入廣告),或插入挖掘加密貨幣的命令稿進入網頁。」

除此之外,似乎還處於「早期開發」階段的 OSX / MaMi macOS 病毒還被發現包含下述多樣性功能,不好在其中大部分尚未在 1.1.0 版啟動:

  • 螢幕抓圖
  • 產生模擬的滑鼠事件
  • 可能是某種東西的啟動器
  • 下載和上傳檔案
  • 執行系統命令

目前還不清楚作者設計這個惡意軟體背後的動機,以及如何傳播。不過沃爾德認為,攻擊者可能是使用蹩腳方法,如惡意電子郵件、基於 Web 的假資安警報/彈出視窗、透過社交工程的攻擊讓 Mac 電腦使用者上當,安裝惡意軟體。

要檢查你的 Mac 電腦是否感染 MaMi 惡意軟體,請從「系統偏好設定」啟動終端機,檢查您的 DNS 設定,特別是找 82.163.143.135 和 82.163.142.137。

根據多引擎防毒掃描程程式 VirusTotal,仍然有非常多種流行防毒軟體無法檢測出這個病毒,所以建議使用第三方工具,如使用防火牆,來檢測和阻止不明的對外流量。此外你也可以安裝沃爾德開發,名為「LuLu」的免費開放原始碼防火牆軟體,來對付這樣的惡意軟體。它可以阻止可疑流量並防止 OSX / MaMi 竊取您的資料。

最後筆者提醒大家,上網時,突然看到一個「你的電腦中毒了,請按下按鈕進行病毒掃描」但又不是你的防毒軟體風格,不要傻傻按下去,這樣會把假扮成警察的盜賊請回家囉。

(首圖來源:shutterstock)

延伸閱讀: