近日 macOS 上出現(xiàn)了新的惡意軟件,該軟件版本會劫持 DNS 并且持久地感染你的系統(tǒng)。
該惡意程序被稱為 OSX/MaMi,其消息最早出現(xiàn)在 Malwarebytes 論壇上,很快有黑客跟進,發(fā)現(xiàn)它實際上是一個 DNS 劫持軟件,并且會通過進一步安裝證書來劫持系統(tǒng)加密通訊。
OSX/MaMi 并沒有運用什么先進的技術,只是以一種簡單、持久的方式改變了系統(tǒng)設置。通過安裝根證書和劫持DNS,攻擊者可以執(zhí)行中間人攻擊,竊取用戶身份憑證、注入廣告等。
另外它覆蓋的范圍也擴展到某些鼠標操作,比如:截屏、生成模擬鼠標操作、下載和上傳文件、執(zhí)行命令等,還有很多無法查明的攻擊,攻擊者可能使用相當?shù)投说膼阂怆娮余]件方式,偽造安全警報和彈出窗口。
到目前為止,殺毒軟件等還不能檢測 OSX/MaMi。用戶怎么樣才知道有沒有感染該惡意軟件?最好的辦法是檢查 DNS 設置,如果 DNS 被設置為 82.163.143.135 和 82.163.142.137,說明感染了惡意軟件。
另外可以檢查有沒有被安裝惡意證書 cloudguard.me,如果安裝的話會看到:
這類惡意劫持工具會安裝其他的惡意軟件,或者允許遠程攻擊者執(zhí)行一些命令。因此,如果用戶發(fā)現(xiàn)感染了該惡意軟件,請盡快刪除惡意 DNS 設置并且移除安裝的惡意證書。
刪除惡意的 DNS 設置:
打開系統(tǒng)設置,點擊網(wǎng)絡—高級—DNS,如果設備感染,就會看到惡意的 DNS 服務器地址 82.163.143.135 和 82.163.142.137。選擇每個地址,點擊刪除按鈕。
移除證書:
打開 Keychain Access 應用,點擊系統(tǒng),如果系統(tǒng)設置(system),如果設備感染,就會看到惡意的證書(cloudguard.me),點擊刪除進行移除。