بدافزار مک MaMi تنظیمات DNS را تغییر می‌دهد

کمیته رکن چهارم – پژوهش‌گری به نام پاتریک واردل نرم‌افزاری را تجزیه‌ و تحلیل کرده است که به نظر می‌رسد یک بدافزار است که برای سرقت تنظیمات DNS در دستگاه‌های مک طراحی شده است. این تهدید قابلیت‌‌های دیگری نیز دارد، اما به نظر می‌رسد که این قابلیت‌ها هنوز فعال نشده‌اند.

این بدافزار که OSX/MaMi نامیده شده است، مبتنی‌بر یک کلاس پر استفاده به نام SBMaMiSettings است و فقط توسط محصولات ضدبدافزار Ikarus و ESET شناسایی شده‌ است. با این حال، احتمالا فروشندگان دیگر نیز در روزهای آینده امضاهایی برای این تهدید ایجاد خواهند کرد.

این پژوهش‌گر بعد از این‌که یک کاربر در انجمن‌های Malwarebytes اعلام کرد که دستگاه مک یک معلم آسیب‌ دیده است، نمونه‌ای از بدافزار MaMi را به دست آورد. این کاربر گزارش داد که DNS سامانه‌ی آسیب‌دیده به ۸۲.۱۶۳.۱۴۳.۱۳۵ و ۸۲.۱۶۳.۱۴۲.۱۳۷ تغییر یافته است.

واردل نمی‌تواند تشخیص دهد که این بدافزار چگونه توزیع می‌شود، اما او این بدافزار را روی چندین وب‌گاه پیدا کرده است. این کارشناس معتقد است که احتمالا این بدافزار از طریق رایانامه، هشدارهای امنیتی جعلی، و نوارهای بالاپر (پاپ‌آپ) در وب‌گاه‌ها، یا حملات مهندسی اجتماعی توزیع شده است.

نمونه‌ای که توسط این پژوژهش‌گر تجزیه و تحلیل شده است مانند یک سارق DNS عمل می‌کند، اما همچنین دارای کدهایی برای ثبت صفحه‌ی نمایش، شبیه‌سازی حرکات ماوس، بارگیری و بارگذاری پرونده‌ها، و اجرای دستورات است.

به نظر می‌رسد که این بدافزار هیچ کدام از این توابع را اجرا نمی‌کند، اما واردل می‌گوید ممکن است که این توابع به ورودی‌هایی از جانب مهاجم نیاز داشته باشند و یا پیش شرط‌های دیگری را لازم داشته باشند که ماشین مجازی او آن‌ شرایط را ندارد. این پژوهش‌گر می‌گوید که همچنان به بررسی‌های خود ادامه خواهد داد.

این بدافزار وقتی یک سامانه را تحت تاثیر قرار می‌دهد، ابزار امنیتی سامانه را فراخوانی می‌کند و گواهی‌نامه‌ی جدیدی را که از یک مکان راه دور به دست آورده، روی این ابزار نصب می‌کند.

واردل توضیح داد: «OSX/MaMi بدافزار پیشرفته‌ای نیست، اما سامانه‌های آسیب‌دیده را با شیوه‌های مخرب و ماندگاری تحت تاثیر قرار می‌دهد. مهاجمان با نصب یک گواهی‌نامه‌ی ریشه‌ای جدید و سرقت و تغییر آدرس کارگزارهای DNS، می‌توانند انواع فعالیت‌های مخرب مانند حمله‌ی مرد میانی (برای سرقت گواهی‌نامه‌ها، یا تزریق تبلیغات) انجام دهند.»

ساده‌ترین راه برای تعیین این‌که آیا یک سامانه‌ی مک تحت تاثیر بدافزار MaMi قرار گرفته‌ است یا خیر، بررسی تنظیمات DNS است. اگر کارگزار DNS با آدرس‌های ۸۲.۱۶۳.۱۴۳.۱۳۵ و ۸۲.۱۸۳.۱۴۲.۱۳۷ تنظیم شده باشد، سامانه آسیب دیده است. به نظر می‌رسد که این بدافزار طوری طراحی شده است که دستگاه‌های ویندوز را تحت تاثیر قرار نمی‌دهد.

شناخته‌ترین بدافزاری که DNS را تغییر می‌دهد، DNSChanger نام دارد، تهدیدی که در سال ۲۰۱۱ میلادی شناسایی شد و تنظیمات DNS را به عنوان بخشی از حمله‌ی سرقت کلیک یا clickjacking تغییر می‌دهد. این بدافزار هم دستگاه‌های مک و هم دستگاه‌های ویندوز را تحت تاثیر قرار می‌دهد و در سال ۲۰۱۲ میلادی توانست میلیون‌ها رایانه را در سرتاسر جهان آلوده کند.

منبع : news.asis.io