MaMi, un changeur DNS qui cible les appareils MacOS

Un malware ciblant les systèmes d'exploitation MacOS a été découvert. MaMi change les entrées DNS vers des adresses IP sur Internet susceptibles d'être des serveurs de commande et contrôle utilisés par les pirates afin de mener des attaques d'homme de milieu. La manière dont le logiciel se répand reste inconnue, cependant, il a été identifié sur plusieurs sites web. Le malware est détectable par plusieurs antivirus selon VirusTotal.

DNSChanger, un malware du même type actif dans les années 2010, changeait les paramètres DNS de ses victimes dans le but de détourner des clics et remplacer des publicités. DNSChanger affectait à la fois les machines Windows et OS X. Des millions d'appareils dans le monde risquaient de perdre leur connectivité Internet après que les autorités aient détruit son infrastructure.

L'échantillon analysé agit comme un pirate DNS, mais il contient également du code pour prendre des captures d'écran, simuler des événements souris, télécharger des fichiers et exécuter des commandes.

Une fois qu'il infecte le système, le logiciel malveillant change les paramètres DNS vers les adresses IP du serveur de commande et de contrôle puis utilise l'outil de sécurité pour installer un nouveau certificat obtenu à partir d'un emplacement distant.

OSX / MaMi n'est pas particulièrement avancé mais modifie les systèmes infectés de manière plutôt persistante. En installant un nouveau certificat racine et en détournant les serveurs DNS, les attaquants peuvent effectuer une variété d'actions malveillantes telles que les attaques d'homme du milieu pour dérober des informations d'identification ou injecter des publicités.

Le moyen le plus simple de déterminer si un système macOS est infecté par le logiciel malveillant MaMi est de vérifier les paramètres DNS. La menace est présente si le serveur est configuré sur 82.163.143[dot]135 et 82.163.142[dot]137. Le logiciel malveillant ne semble pas être conçu pour cibler les appareils Windows.