2018 年第一个月,macOS 就被发现一个新的域名劫持病毒──OSX / MaMi,它是无签署的 Mach-O 64 位元可执行程式码,功能类似 2012 年感染全世界数百万台电脑的 DNSChanger2。这种病毒会修改受感染电脑的 DNS 域名服务器设定,使攻击者把受害者的网络连线转通过恶意服务器路上网,且从中拦截敏感资讯。
这个故事开始于 Malwarebytes 论坛。有一位用户发出求救咨询,因为他的女老师同事意外安装到不明软件,事后发现应该是被感染电脑病毒了。这病毒会无声无息把女老师 Mac 电脑的 DNS 设定改为 82.163.143.135 和 82.163.142.137 的 IP 网址,且就算你自己改回来,恶意软件还是会再偷偷改回去,让受害者继续连到冒牌网站,持续置身于讯息泄漏的危机中。
用户发文以后,前 NSA 白帽骇客派翠克‧沃尔德(Patrick Wardle)分析了这款恶意软件,发现它确实是新的“DNS Hijacker”(DNS 域名劫持者),甚至还能呼叫安全工具给自己安装新的 root 凭证,试图拦截加密通讯。
沃尔德说:“OSX / MaMi 并不是特别先进,但却以相当恶劣和长期持续的方式改变被感染的系统。借由安装新的 root 凭证并劫持 DNS 服务器,攻击者可执行各种各样恶意行为,例如中间人攻击(可能是窃取识别资料或植入广告),或插入挖掘加密货币的命令稿进入网页。”
除此之外,似乎还处于“早期开发”阶段的 OSX / MaMi macOS 病毒还被发现包含下述多样性功能,不好在其中大部分尚未在 1.1.0 版启动:
- 屏幕抓图
- 产生模拟的鼠标事件
- 可能是某种东西的启动器
- 下载和上传档案
- 执行系统命令
目前还不清楚作者设计这个恶意软件背后的动机,以及如何传播。不过沃尔德认为,攻击者可能是使用蹩脚方法,如恶意电子邮件、基于 Web 的假资安警报/弹出视窗、透过社交工程的攻击让 Mac 电脑使用者上当,安装恶意软件。
要检查你的 Mac 电脑是否感染 MaMi 恶意软件,请从“系统偏好设定”启动终端机,检查您的 DNS 设定,特别是找 82.163.143.135 和 82.163.142.137。
根据多引擎防毒扫描程程式 VirusTotal,仍然有非常多种流行防毒软件无法检测出这个病毒,所以建议使用第三方工具,如使用防火墙,来检测和阻止不明的对外流量。此外你也可以安装沃尔德开发,名为“LuLu”的免费开放源代码防火墙软件,来对付这样的恶意软件。它可以阻止可疑流量并防止 OSX / MaMi 窃取您的资料。
最后笔者提醒大家,上网时,突然看到一个“你的电脑中毒了,请按下按钮进行病毒扫描”但又不是你的防毒软件风格,不要傻傻按下去,这样会把假扮成警察的盗贼请回家啰。
- LuLu
- Warning: New Undetectable DNS Hijacking Malware Targeting Apple macOS Users
(首图来源:shutterstock)
延伸阅读:
- 苹果 Mac 电脑被发现一个可能存在 15 年的系统漏洞
- 苹果 macOS High Sierra 又曝出安全漏洞,任意密码解锁偏好设定
- 换一种角度评断,从更新程式的发表频率看 macOS 品质
