کاربران مک هدف بدافزار OSX/MaMi

اولین بدافزار سیستم‌عامل مک در سال ۲۰۱۸ توسط یک محقق امنیتی از تیم objective-see شناسایی و جزئیات آن منتشر شد. این بدافزار که OSX/MaMi نامیده شده است، غیرقابل تشخیص بوده و نوعی Mach-O امضا نشده ۶۴ بیتی و قابل اجراست. این بدافزار جدید را می‌توان مشابه بدافزار DNSChanger معرفی کرد که در سال ۲۰۱۲ میلیون‌ها کامپیوتر در سراسر جهان را آلوده کرده بود. بدافزار DNSChanger به‌طور معمول با تغییر تنظیمات سرور DNS در کامپیوترهای آلوده به مهاجمان اجازه می‌داد تا ترافیک اینترنت را از طریق سرورهای خود بخوانند و داده‌های حساس را ره‌گیری کنند.

 

 

پاتریک وردل، محقق امنیتی و از هکرهای سابق NSA، پس از تجزیه‌وتحلیل این بدافزار گفته است که OSX/MaMi درواقع نوعی DNS Hijacker است که تنظیمات DNS سیستم‌عامل مک را به آدرس‌های ۸۲.۱۶۳.۴۳.۱۳۵ و ۸۲.۱۶۳.۱۴۲.۱۳۷ تغییر می‌دهد. همچنین ابزارهای امنیتی را برای نصب یک گواهی دیجیتال ریشه، جهت ردیابی ارتباطات رمزگذاری شده ترغیب می‌کند.

 

 

به گفته وردل بدافزار OSX/MaMi یک نوع پیشرفته از بدافزارها محسوب نمی‌شود، اما تنظیمات سیستم‌های آلوده را به شیوه‌های مخرب و به‌صورت ماندگار تغییر می‌دهد. با نصب یک گواهی ریشه جدید و ربودن سرورهای DNS، مهاجمان می‌توانند اقدامات مختلف مخربی مانند سرقت اطلاعات از طریق حملات فرد میانی که شاید برای سرقت گواهی‌های دیگر یا تزریق تبلیغات و وارد کردن اسکریپت‌های ماینینگ ارزهای رمزنگاری‌شده به صفحات وب، انجام دهند.


علاوه بر این، بدافزار OSX/MaMi که ظاهراً در مرحله اولیه قرار دارد، شامل قابلیت‌هایی مانند گرفتن اسکرین‌شات، تولید رویدادهای ماوس شبیه‌سازی شده، دانلود و آپلود فایل‌ها، اجرای دستورات و... است که اکثر آن‌ها در نسخه ۱.۱.۰ این بدافزار در حال حاضر فعال نیستند.

همچنین به گفته محققان، انگیزه تولید این بدافزار، نویسنده آن و اینکه چگونه گسترش یافته است همچنان نامشخص است. بااین‌حال، وردل معتقد است که مهاجمان می‌توانند از روش‌هایی مانند ایمیل‌های مخرب، هشدارهای امنیتی جعلی بر پایه وب یا انواع مختلف حملات مهندسی اجتماعی برای هدف قرار دادن کاربران مک استفاده کنند.

برای بررسی اینکه آیا کامپیوتر مک شما به این بدافزار آلوده شده است یا خیر، از طریق برنامه تنظیمات سیستم، به بخش تنظیمات شبکه بروید و آدرس‌های DNS خود را بررسی کنید. به‌ویژه از نبود آدرس‌های ۸۲.۱۶۳.۱۴۳.۱۳۵ و ۸۲.۱۶۳.۱۴۲.۱۳۷ اطمینان حاصل کنید.

 


همچنین لازم به یادآوری است که طبق نتایج بررسی‌های سایت ویروس‌توتال، هیچ‌کدام از ۵۹ نرم‌افزار شناخته شده‌ی امنیتی، امکان تشخیص و شناسایی این بدافزار را ندارند.

 

 

برچسب‌ها: # بدافزار # مک # OSX/MaMi