OSX/MAMi, un nuevo malware que secuestra las DNS

Todavía no está claro cómo se propaga este malware. Sin embargo, el ejecutable no tiene firma, por lo que, en teoría, debería ser rechazado por la comprobación inicial de Gatekeeper, a menos que sea entregado como instalador adicional por un instalador más ingenioso que lo cuele a hurtadillas a un usuario incauto.

Su análisis muestra que el propósito principal de MaMi es secuestrar el servicio de nombres de dominio (DNS). Esto lo hace reemplazando /Library/Preferences/SystemConfiguration/preferences.plist y una autoridad del certificado raíz del sistema. Después de eso, podría usar ese certificado raíz para realizar un ataque de man-in-the-middle para robar contraseñas y otra información protegida.

La autoridad de certificación raíz sustituida es originaria de’ GreenTeam Internet, Ltd.’, en el país’ IL’, estado’ Gush Dan’, y localidad’ Hertzilia’, con un nombre común de’ cloudguard. me’.

El reemplazo Preferencias del sistema configura el servidor DNS (visto en el panel Red) en 82.163.143.135 y 82.163.142.137. Estos son propiedad de Daniel Engelman y Eldar Retter de GREENTEAM-NET en Tel-Aviv, Israel, y parecen ser los servidores DNS de greenteam.net. Esto hace posible que este malware tenga su origen en un ataque de phishing realizado con fines de espionaje.

También hay indicios de que el malware podría ser capaz de tomar capturas de pantalla, controlar los clics del ratón y ejecutar AppleScripts, aunque Patrick no pudo descubrir ningún código que usara esas características.

Para comprobar si tu Mac se ha infectado, puedes inspeccionar la configuración de DNS en el panel Red, buscar el certificado raíz de sustitución utilizando el acceso al llavero del Llavechain que apunta a su llavero del sistema y seleccionando /Library/Preferences/SystemConfiguration/preferences.plist.

En el momento en que escribió su informe detallado sobre MaMi, no apareció ningún software de detección de virus capaz de detectar este malware. Hasta que no sea posible, debes tener especial cuidado con cualquier correo electrónico, descargas web, etc. que intentes instalar en tu Mac.

0 0 votos
Article Rating
Subscribe
Notify of
1 Comment
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
erretxea
erretxea
4 years ago

No me ha quedado nada claro el sistema de comprobación que sugieres.

1
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x