macOS新恶意软件“MaMi”，将窜改你的DNS导流到恶意网站

2024-09-21 214

很多人以为 macOS 没有病毒，是一块世界和平的人间净土，从近来频频发现针对 macOS 的恶意软件硬生生打破这个先入为主的成见。这几天，研究人员发现新的恶意软件“ MaMi ”，这坏东西不仅会窜改你的 DNS，还会劫持你的流量到一些不曾造访的恶意网站，非常可恶！

macOS 新恶意软件“ MaMi ”，将劫持你的 DNS 导流到恶意网站

国外一位以 Apple 为主要研究重点的研究员 Patrick Wardle 在他的个人部落格 Objevtive – See 中发表一篇文章，里头提到在 Malwarebytes 论坛中看到有一位使用者发布一个 DNS 被劫持的问题，不过由于近期并没有任何关于窜改 DNS 的恶意软件被发现，在好奇心驱使下 Patrick 开始研究这个前所未见的状况。

▲上文中内容大致是说：我正在协助一位老师，他不小心在电脑中装了些东西，DNS 似乎被骇了，就算手动删除违规的 DNS 仍然不断自己回复，而且查看后并没有看到任何外挂、项目被启动或任何明显的状况。

根据他的进一步研究表示，这个隐形的恶意软件 MaMi 目前所做的事情就是在不知不觉间窜改你的 DNS，并且导引到一些恶意网站去，不过他也发现其实在 MaMi 中还有尚未被启用的功能，包含了窃取密码、截图、下载文件与软件、运行其他软件并注入假的安全凭证等。

▲此为 Mami 正在擅自下载安全凭证 dctata.bin

据推测，这款恶意软件是需要经过使用者授权的，而病毒制作者经常会放置一些诱导性的按钮令使用者在不知不觉间将权限全盘交出，例如最常见的 Flash Player 更新等，Patrick 表明以现在的分析进度看来并没有发现恶意软件是透过什么媒介来散布，可以确认的是它被隐藏在各种网站上面。虽然目前并不清楚 MaMi 影响到多少 macOS 产品，但你可以检查一下自己的 DNS，如果发现有 82.163.143.135 或 82.163.142.137 ，很有可能就是被 MaMi 入侵后所改掉的，你可以把它修改唯一些干净的 IP 位址，像是 Google 的 8.8.8.8、8.8.8.4 或 OpenNDS 的 208.67.2222.222、208.67.220.220 来防止流量偷跑，并且用防毒软件好好清查一次电脑。

※macOS 设备如何查看 NDS？
1. 开启“系统偏好设定”，选择“网络”