El malware Mami que cambia el DNS en Mac

El investigador de seguridad Patrcik Wardle descubrió a principios de enero de 2018 un nuevo virus Mac que secuestró el DNS.
El descubrimiento se produjo cuando un usuario de Mac de un foro de seguridad informática publicó una solicitud de ayuda para eliminar parte del malware de su Mac que otra utilidad de eliminación de malware no estaba detectando.

La publicación original del foro que inició la encuesta MaMi:

Dado que ni los moderadores ni otros usuarios del foro han respondido públicamente, Wardle ha decidido investigar.
Además de Intego, que también ha comenzado a analizar el malware y ha actualizado las definiciones antivirus de VirusBarrier para detectar este nuevo malware como OSX / MaMi.A.

¿Qué hace el malware OSX / MaMi?

El objetivo principal del malware es secuestrar el DNS de un usuario. DNS significa sistema de nombre de dominio, una tecnología utilizada por casi todos los dispositivos conectados a Internet para resolver nombres de dominio en su dirección actual de Protocolo de Internet (IP). Por ejemplo, si escribe «antivirusmac.it» en su navegador, el DNS se asegura de que su computadora sepa dónde encontrar el sitio y llegar a él rápidamente.

El malware OSX / MaMi intenta secuestrar las solicitudes DNS de la víctima insertando sus servidores DNS en un sistema infectado. También instala una autoridad de certificación maliciosa para que las solicitudes de HTTPS protegidas puedan ser secuestradas por malware sin advertencias en los navegadores de la víctima.

La combinación del secuestro de DNS y la inyección de una certificación hacen posible que el creador de malware participe en ataques (MITM) «man-in-the-middle» contra una víctima. Un atacante podría potencialmente espiar todo lo que un usuario hace en línea, ver cada bit de información escrita en los formularios Web cuadro de «seguro», e inyectar malware o anuncios de cualquier página web (incluso si la página utiliza el nuevo protocolo seguro HTTPS ).

El malware también parece tener la capacidad de ejecutar código de AppleScript, simular clics del mouse y capturar capturas de pantalla. Foro En su ordenador, el programa malicioso se instala como LaunchDaemon-similar a una LaunchAgent- / Library / LaunchDaemons / Cyclonica.plist con la ruta de acceso al archivo (tenga en cuenta que el nombre de archivo puede ser diferente de otros sistemas infectados, pero Una característica única del nombre de archivo es que no sigue la convención de notación estándar inversa del dominio.
Este archivo plist LaunchDaemon se refiere a un archivo malicioso se descarga en el directorio personal del usuario, en este caso de asistencia técnica ~ / Library / Application Support / Cyclonica / Cyclonica (de nuevo, los nombres de carpetas y archivos pueden ser diferentes en otros sistemas infectado, pero probablemente coincida con el nombre del archivo File LaunchDaemon).

Antivirus Mac descargar

¿Por qué llamarlo «MaMi»?

Wardle, el primer investigador para escribir un informe sobre el malware, llamado OSX / MaMi, aunque los vendedores de anti-virus también han llamado el «OSX / DNSChanger», estamos de acuerdo con Wardle que es útil distinguir entre MaMi (que es un nuevo malware) y otros programas maliciosos que modifican DNS que ya se han llamado DNSChanger en el pasado.

El nombre de «Mami» aparece en cadenas de texto dentro del software malicioso (mami_activity, loadMaMiAtPath, unloadMaMiAtPath, removeMaMiAtPath, initMaMiSettings, SBMaMiSettings, SBMaMiManager); y es un término israelí cariñoso, que significa algo como miel o miel; por ejemplo, una madre podría llamar a su hijo con ese nombre.

Cómo se propaga el malware

Por el momento, no se sabe exactamente cómo se infectó el usuario del foro original. Sin embargo, varios sitios web alojan copias del malware, por lo que existe la posibilidad de que MaMi sea una infección secundaria desarrollada por otro malware ya instalado en el sistema de la víctima.
Luego, el foro informó que otro usuario se infectó luego de hacer clic en una ventana emergente del navegador.

Cómo entender si tu Mac está infectada

PRECAUCIÓN: no intente conectarse a nombres de dominio o direcciones IP a continuación; ¡hacerlo podría provocar infecciones!
Los indicadores de compromiso más obvios son que una computadora infectada tendrá las siguientes direcciones IP como servidores DNS: 82.163.143.135 y 82.163.142.137.

Hay muchos métodos para ver qué servidor DNS utiliza su Mac. Si está utilizando una conexión Ethernet cableada, haga clic en el menú Apple y seleccione Preferencias del sistema, haga clic en Red, y luego (si no está ya seleccionada), haga clic en Ethernet (o Ethernet Thunderbolt) en el panel izquierdo. En el panel derecho, verá una línea «Servidor DNS:» que puede contener una o más direcciones IP DNS. Si ve una o ambas de las direcciones IP anteriores, comience con «82.163». entonces tu Mac ha sido infectada.

Si está utilizando una red inalámbrica, puede copiar y pegar lo siguiente en la aplicación Terminal de su Mac:

networksetup -getdnsservers Wi-Fi
Si ve una de las direcciones IP anteriores, comienza con «82.163». entonces tu Mac ha sido infectada. (Muy a menudo verá el mensaje «No hay servidores DNS configurados para Wi-Fi» o si ha agregado servidores DNS manualmente en el pasado, los verá en la lista).

Soluciones y prevención

Le recomendamos encarecidamente que escanee su sistema con un antivirus como este para detectar infecciones persistentes.

¿Quién está detrás del malware?

Varios dominios que se mencionan en el malware están registrados por Anton Vodonaev, que presumiblemente se encuentra en Ucrania y cuyas direcciones de correo electrónico contienen el nombre «prolone». Varios dominios que alojan la pista de malware están registrados para Vladislav Kakoshin en una dirección postal y un código postal diferentes en Ucrania. Por supuesto, es muy posible que estos nombres puedan ser seudónimos y que el individuo o los individuos no estén realmente en Ucrania. Todos los dominios registrados con estos nombres se registraron el 30 de mayo de 2017 mediante el mismo registro de nombre de dominio.

Scroll al inicio