Ano novo é tempo de novos começos e experiências de aprendizagem! Parece que com esse pensamento os hackers decidiram abrir novos caminhos com um malware desagradável e indetectável.
Patrick Wardle e Apple Um pesquisador de segurança centrado detectou uma nova ameaça direcionada ao Mac OSX, chamada de malware MaMi. Essa ameaça se assemelha ao popular malware alterador de DNS que infectou milhões de sistemas em 2012.
O trocador de DNS executou o ataque alterando as configurações de DNS nas máquinas comprometidas, permitindo que o invasor direcionasse o tráfego da Internet através de um servidor desagradável e capturasse informações confidenciais.
“Como já existem vários espécimes de malware (não relacionados ao IMHO) que realizam sequestro de DNS (chamados de ‘DNSChanger’, etc.), decidi chamá-lo de OSX/MaMi devido a uma classe principal do malware chamada: ‘SBMaMiSettings’” escreveu Wardle.
O malware MaMi foi projetado para sequestrar configurações de DNS em dispositivos Mac OS, roubar informações pessoais e confidenciais do usuário sem ser detectado. É um executável Mach-O-64 bit não assinado
Leia também: –
Como o malware foi detectado?
A amostra do malware MaMi foi obtida depois que um usuário relatou sobre uma infecção no fórum Malwarebytes. Ele mencionou que o Mac de seu professor foi infectado porque o servidor DNS foi redefinido automaticamente para 82.163.143.138 e 82.163.142.137.
Img src: securityaffairs.co
Quando a ameaça foi descoberta, descobriu-se que ela não era detectada em todos os motores do VirusTotal, o que significa que é muito avançada. Mas não é o caso como comenta o pesquisador, a ameaça tem a capacidade de alterar os sistemas infectados de forma ofensiva e determinada.
Como funciona o código malicioso?
O código malicioso instala um novo certificado raiz e sequestra o servidor DNS que ajuda o invasor a realizar uma série de atividades nefastas, como ataque man in middle para roubar informações pessoais ou injetar anúncios.
Wardle“Ao instalar um novo certificado raiz e sequestrar os servidores DNS, os invasores podem realizar uma variedade de ações nefastas, como tráfego man-in-the-middle (talvez para roubar credenciais ou injetar anúncios).”
MaMi atua como um sequestrador de DNS e pode realizar as seguintes ações, mas a maioria delas não está disponível na versão atual 1.1.1:
- Tirando capturas de tela
- Falsifica movimentos do mouse
- Baixa e carrega arquivos
- Executa comandos.
- Continua como item de lançamento
O código desagradável foi descoberto em vários sites, mas a fonte ou canal de distribuição ainda é desconhecido. Parece que o desenvolvedor está usando um método antigo para espalhar infecções, ou seja, e-mails, alertas de segurança falsos e pop-ups em sites ou ataques de engenharia social.
Depois que o sistema Mac é infectado pelo MaMi, ele controla a ferramenta de segurança e a usa para instalar um novo certificado (dcdata.bin) baixado da Internet.
“Ao instalar um novo certificado raiz e sequestrar os servidores DNS, os invasores podem realizar uma variedade de ações nefastas, como tráfego man-in-the-middle (talvez para roubar credenciais ou injetar anúncios).” explicou Wardle.
Como verificar se o seu Mac OS está infectado?
Para verificar se sua máquina está infectada, acesse o terminal através das Preferências do Sistema e verifique o código dos servidores DNS, se estiverem configurados para 82.163.148.135 e 82.163.142.137 então está infectado.
Como se manter protegido?
Atualmente, nenhum software antivírus pode detectar malware, portanto, você precisa ser extremamente cauteloso. Para se manter protegido, lembre-se dos seguintes pontos:
- Pode usar uma ferramenta de terceiros, como firewall, para detectar e bloquear o tráfego de saída.
- Pode usar o firewall LULU de código aberto gratuito, criado pelo pesquisador que detectou a ameaça.
- Evite ativar solicitações do Flash Player.
- Não baixe produtos de terceiros que mencionem que podem proteger seu sistema contra ameaças.
Essas maneiras simples ajudarão você a se manter protegido. Além disso, essa ameaça foi criada especificamente para Mac OS. Então, por enquanto Windows os usuários não precisam se preocupar. Este é um ataque sério, pois é indetectável. A guerra cibernética é a frente de guerra emergente do século XXI, portanto, para nos mantermos protegidos contra ela, devemos adquirir conhecimento. O malware MAMI mostra claramente o quão sofisticados os hackers estão se tornando. O sistema operacional que era à prova de ameaças agora se tornou o alvo favorito. Este é apenas um vislumbre do que os hackers têm para nós neste novo ano.
