近日 macOS 上出現了新的惡意軟體, 該軟體版本會劫持 DNS 並且持久地感染你的系統。
該惡意程式被稱為 OSX/MaMi, 其消息最早出現在 Malwarebytes 論壇上, 很快有駭客跟進, 發現它實際上是一個 DNS 劫持軟體, 並且會通過進一步安裝證書來劫持系統加密通訊。
OSX/MaMi 並沒有運用什麼先進的技術, 只是以一種簡單、持久的方式改變了系統設置。 通過安裝根證書和劫持DNS, 攻擊者可以執行中間人攻擊, 竊取用戶身份憑證、注入廣告等。
另外它覆蓋的範圍也擴展到某些滑鼠操作, 比如:截屏、生成類比滑鼠操作、下載和上傳檔、執行命令等, 還有很多無法查明的攻擊, 攻擊者可能使用相當低端的惡意電子郵件方式, 偽造安全警報和快顯視窗。
到目前為止, 殺毒軟體等還不能檢測 OSX/MaMi。 使用者怎麼樣才知道有沒有感染該惡意軟體?最好的辦法是檢查 DNS 設置, 如果 DNS 被設置為 82.163.143.135 和 82.163.142.137, 說明感染了惡意軟體。
另外可以檢查有沒有被安裝惡意證書 cloudguard.me, 如果安裝的話會看到:
這類惡意劫持工具會安裝其他的惡意軟體, 或者允許遠端攻擊者執行一些命令。 因此, 如果使用者發現感染了該惡意軟體, 請儘快刪除惡意 DNS 設置並且移除安裝的惡意證書。
刪除惡意的 DNS 設置:
打開系統設置, 點擊網路—高級—DNS, 如果設備感染, 就會看到惡意的 DNS 伺服器位址 82.163.143.135 和 82.163.142.137。 選擇每個位址, 點擊刪除按鈕。
移除證書:
打開 Keychain Access 應用, 點擊系統, 如果系統設置(system), 如果設備感染, 就會看到惡意的證書(cloudguard.me), 點擊刪除進行移除。
歡迎關注威鋒網官方微信:威鋒網(weiphone_2007) 彙聚最新Apple動態,