Новый DNS-спуфер для macOS может вырасти до трояна
Безопасность Mac OS
Новый macOS-зловред OSX/MaMi переписывает адреса DNS-серверов и подменяет корневой сертификат компьютера. Многие антивирусные движки еще не научились его распознавать, поэтому при заражении пользователи вынуждены чистить свои машины вручную.

О спуфере сообщил бывший сотрудник Агентства национальной безопасности США, специалист по безопасности Mac-устройств Патрик Уордл (Patrick Wardle). На данный момент известно только об одном случае заражения в США.

По сообщению Уордла, OSX/MaMi пока не использует большую часть своих вредоносных функций. В их числе возможности:

На данный момент из этого списка активны только первые три пункта. Это позволяет Уордлу предположить, что злоумышленники еще не закончили разработку, но планируют превратить OSX/MaMi в троян для удаленного контроля.

Даже в нынешнем исполнении вредонос может доставить серьезные неприятности, предупреждает эксперт. Подмена DNS позволяетзлоумышленникам перенаправлять пользователя на поддельные веб-страницы, оставляя в адресной строке браузера корректный URL. В результате преступники могут воровать пользовательские данные, показывать нежелательную рекламу, вести MitM-атаки.

Уордл предполагает, что создатели OSX/MaMi в 2015 году выпустили похожий Windows-вредонос DNSUnlocker. Он показывал зараженным пользователям нежелательную рекламу — текстовые ссылки, баннеры, всплывающие окна. О сходстве двух спуферов говорят совпадения в адресах DNS-серверов, которые они прописывают в системе жертвы. Кроме того, зловреды устанавливают одинаковый корневой сертификат.

Эксперт предупреждает, что для полного устранения OSX/MaMi придется переустановить операционную систему. Программа-минимум включает удаление некорректных DNS-серверов и поддельного сертификата. Для этого нужно зайти в системные настройки, кликнуть на иконку «Сеть» и перейти на вкладку «DNS» в «Дополнительных настройках» активного сетевого устройства (Wi-Fi или Ethernet). В списке серверов нужно удалить адреса 82.163.143.135 и 82.163.142.137. Поддельный корневой сертификат (cloudguard.me) можно стереть через приложение Keychain, которое также находится в системных настройках.

В декабре прошлого года Apple выпустила серию обновлений, закрывающих бреши MacBook, iPhone, iWatch, Apple TV и браузера Safari. Среди них была критическая уязвимость, которая позволяла злоумышленнику выполнять любые операции с компьютером без ввода пароля. Всего в 2017 году Apple устранила более 200 уязвимостей в своих продуктах.