هدف قرارگرفتن تنظيمات DNS دستگاه‌های مک توسط بدافزار MaMi

هدف قرارگرفتن تنظيمات DNS دستگاه‌های مک توسط بدافزار MaMi

تاریخ ایجاد

محقق امنیتی با نام پاتریک وردل، گونه‌ی جدیدی از بدافزار را مورد تجزیه ‌و تحلیل قرار داد که به نظر می‌رسد برای ربودن تنظیمات DNS در دستگاه‌های مک طراحی شده است.
این بدافزار که "OSX/MaMi" نامیده می‌شود، مبتنی بر کلاس "SBMaMiSettings" است و در حال حاضر تنها توسط محصولات ضدبدافزار ESET و Ikarus، تحت نام‌های "OSX/DNSChanger.A" و "Trojan.OSX.DNSChanger" شناسایی می‌شود.
این محقق، نمونه‌ای از بدافزار MaMi را در انجمن‌های Malwarebytes به‌دست آورد که در آن یک کاربر، گزارشی در مورد آلوده‌شدن دستگاه مک معلمی ارائه کرده بود. طبق گزارش این کاربر، کارگزارهای DNS در سیستم آسیب‌دیده به "82.163.143.135" و "82.163.142.137" تغییر یافتند و علیرغم حذف ورودی‌های DNS، آدرس‌ها همچنان ثابت باقی ماندند.
واردل قادر به تعیین نحوه‌ی توزیع این بدافزار نبود؛ اما او معتقد است که این تهدید به ‌احتمال‌ زیاد از طریق پست الکترونیک، هشدارهای امنیتی جعلی، نوارهای پاپ‌آپ در وب‌سایت‌ها یا حملات مهندسی اجتماعی توزیع می‌شود.
نمونه‌ای که توسط این محقق تحليل شده است، مانند يک سارق DNS عمل می‌کند. این نمونه همچنين حاوی کد برای گرفتن تصاوير، شبیه‌سازی حرکات ماوس، بارگیری و بارگذاری فایل‌ها و اجرای دستورات است.
به نظر می‌رسد که MaMi هیچ‌کدام از این توابع را اجرا نمی‌کند؛ اما وردل می‌گوید ممکن است که این توابع به ورودی‌هایی از جانب مهاجم یا سایر پیش‌شرط‌ها نیاز داشته باشند که ممکن است ماشین مجازی او آن شرایط را نداشته باشد.
هنگامی‌که این بدافزار سیستم را آلوده می‌کند، ابزار امنیتی آن را فرا می‌خواند و از آن برای نصب گواهینامه‌ی جدید به‌دست‌آمده از یک مکان از راه دور استفاده می‌کند.
OSX/MaMi بدافزار پیشرفته‌ای نیست؛ اما سیستم‌های آلوده را به شیوه‌های مخرب و ماندگار تغییر می‌دهد. با نصب یک گواهینامه‌ی ریشه جدید و ربودن کارگزارهای DNS، مهاجمان می‌توانند فعالیت‌های مخربی مانند حمله‌ی مرد میانی را برای سرقت اعتبارنامه‌ها یا تزریق تبلیغات انجام دهند.
به نظر می‌رسد این بدافزار برای دستگاه‌های ویندوز طراحی نشده است. ساده‌ترین راه برای تعیین اینکه آیا یک سیستم مک به این بدافزار آلوده شده است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرس‌های "82.163.143.135" و "82.163.142.137" تنظیم شده باشد، سیستم آلوده شده است.
پاتریک وردل، دیوار آتیش منبع ‌باز رایگانی با نام "LuLu" برای مک ایجاد کرد که قادر به جلوگیری از ترافیک‌های مشکوک و خنثی‌کردن OSX/MaMi است.
MaMi تنها بدافزار تغییردهنده‌ی DNS نیست که تاکنون شناسایی شده است. معروف‌ترین بدافزار تغییردهنده‌ی DNS بدافزار "DNSChanger" است که در سال 2011 شناسایی شد. این بدافزار بر روی هر دو دستگاه ویندوز و OSX تأثیر گذاشت و میلیون‌ها دستگاه را در سراسر جهان آلوده کرد.

برچسب‌ها