Злонамереният софтуер MaMi е насочен към DNS настройките на macOS X

[dessyteneva]

Злонамереният софтуер, наречен MaMi е забелязан за пръв път от изследователя по сигурността Патрик Уордъл, след пост във форумите на Malwarebytes, в който потребител се оплаква, че случайно е инсталирал нещо, което довело до странна промяна на настройките на DNS.

Въпреки, че потребителят е премахнал вписванията, адресът се променил и останал постоянно 82.163.143.172 и 82.163.142.174. Единствената индикаиця, забелязана от софтуера на Malwarebytes в този момент се отчита като MyCoupon, което често обозначава нещо вредно. Въпреки това се предполага, че промяната на DNS адресите е знак за нещо опасно.

MaMi не е сложен. Неподписаният Mach-O 64 битов изпълним файл е маркиран като приложение версия 1.1.0, което показва, че все още е в разработка. Въпреки това той има функции за промяна на DNS, заснемане на екрана, генериране на симулирани събития с мишката, изпълнение на произволен код и може да служи като елемент за достъп.

В своята публикация Уордъл твърди, че докато методите за заразяване остават загадъчни, то злонамереният софтуер се хоства на редица домейни. Изследователят е установил, че това е тривиална връзка за декриптиране на конфигурационни данни и е открил, че MaMi инсталира сертификат, чрез приложението Keychain Access, който би позволил атаки тип Man in the Middle (MiTM). Това му изследване води до теорията, че MaMi е преосмисляне на DNSUnlocker, който беше известен в миналото, предназначен за Windows зловреден софтуер.