OSX MaMi: Νέο μη ανιχνεύσιμο malware χτυπά τους υπολογιστές Apple Mac.
Ένας ερευνητής ασφάλειας του διαδικτύου αποκάλυψε ένα νέο μη ανιχνεύσιμο κακόβουλο λογισμικό που επηρέασε τους υπολογιστές Apple Macs και έχει τη δυνατότητα να διαχειριστεί τις ρυθμίσεις DNS μιας συσκευής και να κλέψει τα προσωπικά δεδομένα των θυμάτων.
Σύμφωνα με τον πρώην αναλυτή της NSA και τον ερευνητή ασφάλειας Patrick Wardle, ο κακόβουλος κώδικας που ονομάζεται OSX MaMi είναι ένα DNS hijacker, αλλά διαθέτει επίσης και πολλές άλλες κακόβουλες δυνατότητες.
Το malware δεν είναι “ιδιαίτερα προηγμένο”, εξηγεί ο Wardle σε μια δημοσίευση στο blog του που δημοσιεύθηκε την Πέμπτη (11 Ιανουαρίου). Ωστόσο, αυτή τη στιγμή τα ορισμένα λογισμικά προστασίας από ιούς βρίσκονται ανήμπορα απέναντί του.
Όπως συμβαίνει συχνά με κάθε νέο κακόβουλο λογισμικό, είναι δύσκολο να ανιχνευθεί τον πρώτο καιρό, και χαρακτηρίζεται ως πρωτεύον απειλή, συνολικά και από τα 59 λογισμικά προστασίας που υπάρχουν στον κόσμο. Βέβαια αυτή η κατάσταση αλλάζει σύντομα καθώς τα προϊόντα antivirus και Internet Security έχουν προετοιμαστεί κατάλληλα για να καταπολεμήσουν τέτοιου είδους απειλές.
Μετά την ανάλυση του πηγαίου κώδικα του κακόβουλου λογισμικού, ο Wardle δήλωσε ότι το OSX/MaMi είναι σε θέση να εγκαταστήσει ένα τοπικό πιστοποιητικό, να ρυθμίσει τις προσαρμοσμένες ρυθμίσεις DNS, να πειράξει τη λειτουργία του ποντικιού, να εκτελέσει τα αρχεία AppleScript και να κάνει κλικ μέσω του ποντικιού όπου αυτό επιθυμεί. Μπορεί επίσης να επιταχύνει την διαδικασία, να κατεβάσει και να ανεβάσει αρχεία και να εκτελέσει εντολές.
«Το OSX MaMi δεν είναι ιδιαίτερα προηγμένο – αλλά αλλάζει τα μολυσμένα συστήματα με μάλλον δυσάρεστο και επίμονο τρόπο που το καταστεί ιδιαίτερα επικίνδυνο», πρόσθεσε Wardle . «Με την εγκατάσταση ενός νέου πιστοποιητικού root certificate και την κατάχρηση των διακομιστών DNS, οι επιτιθέμενοι μπορούν να εκτελέσουν μια ποικιλία δραματικών ενεργειών, όπως να κλέψουν τα διαπιστευτήρια του θύματος και πολλά άλλα».
Μέχρι στιγμής, το malware OSX MaMi δεν φαίνεται να εκτελεί άλλες λειτουργίες εκτός από το DNS hijacking.
«Ίσως για να εκτελεστούν αποτελεσματικά οι μέθοδοι και να συνεχίσει τη δραστηριότητα του το κακόβουλο λογισμικό, απαιτεί κάποια στήριξη που παρέχεται συνήθως από την επίθεση του χάκερ ή κάποιες άλλες προϋποθέσεις.
Δεν είναι άμεσα σαφές ποιος είναι πίσω από το OSX MaMi ή πώς οι χάκερ μολύνουν τα θύματά τους με το κακόβουλο λογισμικό. Οι εισβολείς χρησιμοποιούν πιθανώς τις συνήθεις μεθόδους διανομής κακόβουλου λογισμικού, όπως επιθέσεις social-engineering based attack, κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου για να ολοκληρώσουν το έργο τους.
Μέχρι στιγμής τουλάχιστον μόνο ένα καταγεγραμμένο άτομο φέρεται έχει επηρεαστεί από το malware OSX/MaMi, όμως η πραγματικότητα είναι άλλη, αφού τα περισσότερα θύματα δεν γνωρίζουν το πρόβλημα ή στην χειρότερη περίπτωση δεν κοινοποιούν το ζήτημα και κατά συνέπεια μεγαλώνει η έκταση του θέματος.
Πώς να ελέγξετε εάν έχετε μολυνθεί από το OSX MaMi
Για να μάθετε εάν έχετε μολυνθεί από το κακόβουλο λογισμικό , ο Wardle προτείνει να ελέγξετε τις ρυθμίσεις DNS και να δείτε εάν έχουν αλλάξει σε 82.163.143.135 και 82.163.142.137. Το OSX MaMi δεν φαίνεται να στοχεύει τις συσκευές Windows αυτή τη στιγμή.
Δεδομένου ότι στην παρούσα χρονική στιγμή τα περισσότερα λογισμικά προστασίας για ιούς δεν μπορούν να ανιχνεύσουν το πρόβλημα, οι χρήστες μπορούν να χρησιμοποιήσουν ένα εργαλείο τρίτου μέρους που μπορεί να ανιχνεύσει και να αποκλείσει την εξερχόμενη απειλή.
Κατά το παρελθόν και συγκεκριμένα πριν 10 χρόνια υπήρχε ένα malware που χτύπησε τους υπολογιστές Mac και ονομαζόταν DNSChanger (ή Puper, Jahlav, RSPlug-F), όμως ήταν ένα απλόσενάριο, ανέφερε ο Wardle.