macOS上出現新的DNS惡意劫持程式 注意防範

近日 macOS 上出現了新的惡意軟體，該軟體版本會劫持 DNS 並且持久地感染你的系統。

該惡意程式被稱為 OSX/MaMi，其消息最早出現在 Malwarebytes 論壇上，很快有駭客跟進，發現它實際上是一個 DNS 劫持軟體，

並且會通過進一步安裝證書來劫持系統加密通訊。

OSX/MaMi 並沒有運用什麼先進的技術，只是以一種簡單、持久的方式改變了系統設置。通過安裝根證書和劫持DNS，攻擊者可以執行中間人攻擊，竊取用戶身份憑證、注入廣告等。

另外它覆蓋的範圍也擴展到某些滑鼠操作，

比如：截屏、生成類比滑鼠操作、下載和上傳檔、執行命令等，還有很多無法查明的攻擊，攻擊者可能使用相當低端的惡意電子郵件方式，偽造安全警報和快顯視窗。

到目前為止，殺毒軟體等還不能檢測 OSX/MaMi。使用者怎麼樣才知道有沒有感染該惡意軟體？最好的辦法是檢查 DNS 設置，如果 DNS 被設置為 82.163.143.135 和 82.163.142.137，說明感染了惡意軟體。

另外可以檢查有沒有被安裝惡意證書 cloudguard.me，如果安裝的話會看到：

這類惡意劫持工具會安裝其他的惡意軟體，或者允許遠端攻擊者執行一些命令。因此，如果使用者發現感染了該惡意軟體，

請儘快刪除惡意 DNS 設置並且移除安裝的惡意證書。

刪除惡意的 DNS 設置：

打開系統設置，點擊網路—高級—DNS，如果設備感染，就會看到惡意的 DNS 伺服器位址 82.163.143.135 和 82.163.142.137。選擇每個位址，點擊刪除按鈕。

移除證書：

打開 Keychain Access 應用，點擊系統，如果系統設置（system），如果設備感染，就會看到惡意的證書（cloudguard.me），點擊刪除進行移除。

歡迎關注威鋒網官方微信：威鋒網（weiphone_2007) 彙聚最新Apple動態，精選最熱科技資訊。