Novo malware “OSX/MaMi” ataca configurações de DNS do macOS

Aperte os cintos e verifique sua segurança, pois um novo malware1 está à solta.

Conforme publicou a ZDNet, uma nova ameaça ao macOS foi encontrada e relatada em um post do fórum da Malwarebytes. Nele, o usuário conta que está ajudando outra pessoa a se livrar de algo que ela instalou “acidentalmente” e, então, o malware se apoderou do DNS do computador. Ele afirma que tentou excluir os registros 82.163.143.135 e 82.163.142.137 do DNS, mas eles retornam sempre.

Depois da publicação no fórum, o desenvolvedor Patrick Wardle resolveu dissecar o malware — chamado de “OSX/MaMi” — e publicou sua análise. Conforme Wardle afirmou, o malware não parece lá algo tão sofisticado: ele é um executável Mach-O de 64 bits não-assinado, que está na versão 1.1.0, ou seja, é bem novo.

Malware MaMi nao assinado

A análise é bastante extensa, com diversas screenshots e informações retiradas do arquivo que você pode ler nesta página. Wardle conclui falando sobre o que a ameaça pode acarretar:

O OSX/MaMi não é particularmente avançado, mas altera os sistemas infectados de maneira bastante desagradável e persistente. Ao instalar um novo certificado de raiz e sequestrar os servidores de DNS, os invasores podem realizar uma variedade de ações nefastas, como ataques man-in-the-middle (talvez para roubar credenciais ou forçar anúncios).

O autor do malware e como a ameaça consegue se espalhar ainda permanecem uma incógnita para quem o está analisando. Conversando com outro analista, entretanto, eles chegaram à conclusão de que esta nova ameaça poderia ter relação com outro malware, de 2015, chamado “DNSUnlocker”, que também afetou as configurações de DNS de sistemas Windows.

Para saber se você foi infectado, vá até Preferências do Sistema » Rede » Avançado… » DNS e procure pelos endereços 82.163.143.135 e 82.163.142.137. Verifique também no Acesso às Chaves se você encontra o certificado cloudguard.me. Caso ache os dois (ou algum deles), exclua-os. Se não resolver, a indicação é que você reinstale por completo o macOS.

E, como sempre, segurança nunca é demais: mesmo que você não tenha sido infectado, esteja sempre com o firewall do macOS ativado (em Preferências do Sistema » Segurança e Privacidade » Firewall) e não instale nenhum aplicativo desconhecido na sua máquina.

via Cult of Mac

Posts relacionados

Comentários