Бывший эксперт АНБ США призывает пользователей проверить машины на заражение, чтобы защититься от MitM-атак.
Новый macOS-зловред OSX/MaMi переписывает адреса DNS-серверов и подменяет корневой сертификат компьютера. Многие антивирусные движки еще не научились его распознавать, поэтому при заражении пользователи вынуждены чистить свои машины вручную.
О спуфере сообщил бывший сотрудник Агентства национальной безопасности США, специалист по безопасности Mac-устройств Патрик Уордл (Patrick Wardle). На данный момент известно только об одном случае заражения в США.
По сообщению Уордла, OSX/MaMi пока не использует большую часть своих вредоносных функций. В их числе возможности:
На данный момент из этого списка активны только первые три пункта. Это позволяет Уордлу предположить, что злоумышленники еще не закончили разработку, но планируют превратить OSX/MaMi в троян для удаленного контроля.
Даже в нынешнем исполнении вредонос может доставить серьезные неприятности, предупреждает эксперт. Подмена DNS позволяет злоумышленникам перенаправлять пользователя на поддельные веб-страницы, оставляя в адресной строке браузера корректный URL. В результате преступники могут воровать пользовательские данные, показывать нежелательную рекламу, вести MitM-атаки.
Уордл предполагает, что создатели OSX/MaMi в 2015 году выпустили похожий Windows-вредонос DNSUnlocker. Он показывал зараженным пользователям нежелательную рекламу — текстовые ссылки, баннеры, всплывающие окна. О сходстве двух спуферов говорят совпадения в адресах DNS-серверов, которые они прописывают в системе жертвы. Кроме того, зловреды устанавливают одинаковый корневой сертификат.
Эксперт предупреждает, что для полного устранения OSX/MaMi придется переустановить операционную систему. Программа-минимум включает удаление некорректных DNS-серверов и поддельного сертификата. Для этого нужно зайти в системные настройки, кликнуть на иконку «Сеть» и перейти на вкладку «DNS» в «Дополнительных настройках» активного сетевого устройства (Wi-Fi или Ethernet). В списке серверов нужно удалить адреса 82.163.143.135 и 82.163.142.137. Поддельный корневой сертификат (cloudguard.me) можно стереть через приложение Keychain, которое также находится в системных настройках.
В декабре прошлого года Apple выпустила серию обновлений, закрывающих бреши MacBook, iPhone, iWatch, Apple TV и браузера Safari. Среди них была критическая уязвимость, которая позволяла злоумышленнику выполнять любые операции с компьютером без ввода пароля. Всего в 2017 году Apple устранила более 200 уязвимостей в своих продуктах.