بدافزار OSX/MaMi تنظیمات DNS را در دستگاههای مک تحتتاثیر قرار میدهد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
بدافزار OSX/MaMi تنظیمات DNS را در دستگاههای مک تحتتاثیر قرار میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پاتریک واردل پژوهشگر با تجزیهوتحلیل یک نرمافزار دریافت که این یک بدافزار برای سرقت تنظیمات DNS در دستگاههای مک است. این تهدید قابلیتهای دیگری نیز دارد، اما به نظر میرسد که این قابلیتها هنوز فعال نشدهاند.
این بدافزار که OSX/MaMi نامیده شدهاست، مبتنیبر یک کلاس پر استفاده به نام SBMaMiSettings است و فقط توسط محصولات ضدبدافزار Ikarus و ESET شناسایی شدهاست. با این حال، احتمالا فروشندگان دیگر نیز در روزهای آینده امضاهایی برای این تهدید ایجاد خواهندکرد.
این پژوهشگر بعد از اینکه یک کاربر در انجمنهای Malwarebytes اعلام کرد دستگاه مک یک معلم آسیب دیدهاست، نمونهای از بدافزار MaMi را بهدست آورد. این کاربر گزارش داد که DNS سامانه آسیبدیده به ۸۲.۱۶۳.۱۴۳.۱۳۵ و ۸۲.۱۶۳.۱۴۲.۱۳۷ تغییر یافتهاست.
واردل نمیتواند تشخیص دهد که این بدافزار چگونه توزیع میشود، اما او این بدافزار را روی چندین وبسایت پیدا کردهاست. این کارشناس معتقد است که احتمالا این بدافزار از طریق ایمیل، هشدارهای امنیتی جعلی و نوارهای پاپآپ در وبسایتها یا حملات مهندسی اجتماعی توزیع شدهاست.
نمونهای که توسط این پژوهشگر تجزیهوتحلیل شدهاست مانند یک سارق DNS عمل میکند، اما همچنین دارای کدهایی برای ثبت صفحه نمایش، شبیهسازی حرکات ماوس، بارگیری و بارگذاری پروندهها و اجرای دستورات است.
به نظر میرسد که این بدافزار هیچکدام از این توابع را اجرا نمیکند، اما واردل میگوید ممکن است که این توابع به ورودیهایی از جانب مهاجم نیاز داشتهباشند و یا پیششرطهای دیگری نیاز داشتهباشند که ماشین مجازی او آن شرایط را ندارد. این پژوهشگر میگوید که همچنان به بررسیهای خود ادامه خواهد داد.
این بدافزار وقتی یک سامانه را تحتتاثیر قرار میدهد، ابزار امنیتی سامانه را فراخوانی میکند و گواهینامه جدیدی را که از یک مکان راه دور به دست آوردهاست روی این ابزار نصب میکند.
واردل توضیح داد: «OSX/MaMi بدافزار پیشرفتهای نیست، اما سامانههای آسیبدیده را با شیوههای مخرب و ماندگاری تحتتاثیر قرار میدهد. مهاجمان با نصب یک گواهینامه ریشهای جدید و سرقت و تغییر آدرس کارگزارهای DNS، میتوانند انواع فعالیتهای مخرب مانند حمله مرد میانی (برای سرقت گواهینامهها یا تزریق تبلیغات) انجام دهند.»
سادهترین راه برای تعیین اینکه آیا یک سامانه مک تحتتاثیر بدافزار MaMi قرار گرفتهاست یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرسهای ۸۲.۱۶۳.۱۴۳.۱۳۵ و ۸۲.۱۸۳.۱۴۲.۱۳۷ تنظیم شدهباشد، سامانه آسیب دیدهاست. گویا این بدافزار طوری طراحی شدهاست که دستگاههای ویندوز را تحتتاثیر قرار نمیدهد.
شناختهترین بدافزاری که DNS را تغییر میدهد، DNSChanger نام دارد؛ تهدیدی که در سال ۲۰۱۱ میلادی شناسایی شد و تنظیمات DNS را به عنوان بخشی از حمله سرقت کلیک یا clickjacking تغییر میداد. این بدافزار هم دستگاههای مک و هم دستگاههای ویندوز را تحتتاثیر قرار میدهد و در سال ۲۰۱۲ میلادی توانست میلیونها رایانه را در سرتاسر جهان آلوده کند.