هم رسان:محققان امنیتی این هفته اولین بدافزار مخفی سال 2018 را کشف و اعلام کردند این بدافزار رایانه های مک اپل را هدف قرار داده است.

به گزارش پایگاه خبری هم رسان و به نقل از هکرنیوز، این بدافزار که OSX/MaMi نام گرفته تا حدودی شبیه به بدافزار DNSChanger است که در سال 2012 منجر به آلودگی میلیون ها رایانه در سراسر جهان شد.
بدافزار DNSChanger به طور معمول تنظیمات سرور DNS را در رایانه های آلوده تغییر می دهد و این امکان را به مهاجمان می دهد تا بتوانند مسیریابی اینترنت را از طریق سرورهای مخرب انجام دهند و اطلاعات حساس را از بین ببرند.
بدافزار OSX/MaMi ابتدا در پست یک از فروم های Malwarebytes اطلاع داده شد. یکی از کاربران این فروم پرسشی را درباره یک بدافزار ناشناخته مطرح کرده و گفته بود این بدافزار تنظیمات DNS رایانه دوستش را به نشانی های 82.163.143.135 و 82.163.142.137 تغییر داده است.
پس از مشاهده این پست، «پاتریک واردل» هکر سابق NSA این بدافزار را بررسی و دریافته این بدافزار در واقع یک “DNS Hijacker” است و جهت رهگیری ارتباطات رمز نگاری شده به ابزارهای امنیتی برای نصب مجوزهای جدید روت متوسل می شود.

پاتریک می گوید:« OSX/MaMi بدافزار پیشرفته ای به حساب نمی آید اما می تواند سیستم های آلوده را به شیوه های مخرب و ماندگاری تغییر دهد.»
با نصب یک مجوز روت جدید و سرقت اطلاعات سرورهای DNS ، مهاجمان می توانند اقدامات خرابکارانه ی مختلفی نظیر ترفند مرد میانی (برای دزدیدن اطلاعات مهم و معتبر) و یا وارد شدن به صفحات وب معاملات ارز دیجیتال (cryptocurrency mining) را به اجرا در بیاورند.
علاوه بر این بدافزار OSX/MaMi رایانه های مک که هنوز در مراحل اولیه خود است می تواند اقدامات زیر را نیز انجام دهد که در حال حاضر در نسخه ی 1.1.10 آن فعال نیستند:
از صفحه عکس بگیرد
اقدامات ماوس را شبیه سازی کند
شاید به عنوان یک محصول راه اندازی شده کار کند
فایل ها را دانلود و آپلود کند
دستورها را اجرا کند
هنوز مشخص نیست چه کسی و با چه هدفی این بدافزار را تولید کرده و اینکه چگونه پخش شده است.
البته پاتریک عقیده دارد مهاجمان برای نشر این بدافزار می توانستند از روش های ایمیل مخرب، پاپ آپ جعلی مبتنی بر وب یا حملاتی از نوع مهندسی اجتماعی برای هدف قراردادن کاربران مک استفاده کرده باشند.
جهت اطلاع از آلوده بودن و یا پاک بودن دستگاه خود نسبت به این بدافزار، می توانید به بخش System Preerences بروید و ببینید آیا تنظیمات DNS شما به 82.163.143.135 یا 82.163.142.137 تغییر کرده است یا خیر؟!

به گفته VirusTotal هیچ یک از 59 نرم افزار آنتی ویروس مشهور در حال حاضر توانایی شناسایی این بدافزار را ندارند بنابراین به شما پیشنهاد می شود از ابزارهای شخص ثالث مانند فایروال برای شناسایی و مسدود کردن ترافیک های خروجی استفاده کنید.
شما همچنین می توانید فایروال منبع باز و رایگان LuLu را که پاتریک واردل توسعه داده، از GitHub دانلود و نصب کنید.