Il ricercatore di sicurezza Patrcik Wardle ha scoperto all’inizio di qyesto gennaio 2018, un nuovo virus per Mac che dirotta i DNS.
La scoperta è nata quando un utente Mac di un forum per la sicurezza informatica, ha pubblicato una richiesta di aiuto per rimuovere alcuni malware dal proprio Mac che un’altra utility per la rimozione di malware non stava rilevando.
Ecco il post originale del forum che ha avviato l’indagine sul MaMi:
Poiché né i moderatori né gli altri utenti del forum hanno risposto pubblicamente, Wardle ha deciso di indagare.
Così come la Intego che ha anche iniziato ad analizzare il malware e ha aggiornato le definizioni antivirus di VirusBarrier per rilevare questo nuovo malware come OSX / MaMi.A.
Cosa fa il malware OSX / MaMi?
L’obiettivo principale del malware è quello di dirottare il DNS di un utente. DNS è l’acronimo di domain name system, una tecnologia utilizzata da quasi tutti i dispositivi connessi a Internet per risolvere i nomi di dominio sul loro attuale indirizzo IP (Internet Protocol). Ad esempio, se digiti “antivirusmac.it” nel tuo browser, il DNS fa in modo che il tuo computer sappia dove trovare il sito e raggiungerlo in tempi brevi.
Il malware OSX/MaMi tenta di dirottare le richieste DNS della vittima inserendo i propri server DNS in un sistema infetto. Installa inoltre un’autorità di certificazione dannosa in modo che le richieste HTTPS protette possano essere dirottate dal malware senza avvisi visualizzati nei browser della vittima.
La combinazione di dirottamento del DNS e l’iniezione di una certificazione rendono possibile per il creatore del malware di impegnarsi in (MITM) attacchi “man-in-the-middle” contro una vittima. Un utente malintenzionato potrebbe potenzialmente spiare tutto ciò che un utente fa in linea, vedere ogni bit di dati digitati nella casella “sicura” dei moduli Web, e iniettare malware o annunci in qualsiasi pagina Web (anche se la pagina utilizza il nuovo protocollo sicuro HTTPS).
Il malware inoltre sembra avere la capacità per eseguire codice AppleScript, simulare clic del mouse, e catturare schermate. Sul computer dell’utente del forum, il malware è stato installato come LaunchDaemon-simile ad un LaunchAgent-con il percorso del file /Library/LaunchDaemons/Cyclonica.plist (da notare che il nome del file può differire da altri sistemi infetti, ma una cosa unica circa il nome del file è che non segue la convenzione di notazione standard inversa del dominio.
Questo file LaunchDaemon plist fa riferimento a un file dannoso che viene scaricato nella directory home dell’utente, in questo caso ~ / Library / Application Support / Cyclonica / Cyclonica (ancora una volta, i nomi delle cartelle e dei file possono differire in altri sistemi infetti, ma probabilmente corrispondere al nome del file plist LaunchDaemon).
Perché chiamarlo “MaMi”?
Wardle, il primo ricercatore a scrivere un rapporto sul malware, lo chiamò OSX / MaMi, anche se diversi produttori di antivirus lo hanno poi chiamato “OSX / DNSChanger”, concordiamo con Wardle sul fatto che è utile distinguere tra MaMi (che è un nuovo malware) e altri malware che modificano il DNS che sono già stati chiamati DNSChanger in passato.
Il nome “Mami” compare nelle stringhe di testo all’interno del malware (mami_activity, loadMaMiAtPath, unloadMaMiAtPath, removeMaMiAtPath, initMaMiSettings, SBMaMiSettings, SBMaMiManager); ed è un termine israeliano vezzeggiativo, che significa qualcosa di simile al tesoro o al miele; per esempio, una madre potrebbe chiamare suo figlio con quel nome.
Come si diffonde il malware
Al momento non è noto esattamente come l’utente del forum originale sia stato infettato. Tuttavia diversi siti web ospitarano copie del malware, in modo che c’è una possibilità che MaMi sia un’infezione secondaria sviluppata da altri malware già installati sul sistema della vittima.
Il forum ha poi riferito che un altro utente è stato infettato dopo aver fatto clic in una finestra pop-up del browser.
Come capire se il tuo Mac è infetto
ATTENZIONE: non tentare di connettersi ai nomi di dominio o indirizzi IP di seguito; farlo potrebbe portare a infezioni!
Gli indicatori di compromesso più evidenti sono che un computer infetto avrà i seguenti indirizzi IP come server DNS: 82.163.143.135 e 82.163.142.137.
Esistono numerosi metodi per verificare quali server DNS utilizza il tuo Mac. Se stai usando una connessione Ethernet cablata, fai clic sul menu Apple e seleziona Preferenze di Sistema, quindi fai clic su Rete, quindi (se non è già selezionato) fai clic su Ethernet (o Ethernet Thunderbolt) nel riquadro di sinistra. Nel riquadro di destra, vedrai una riga “Server DNS:” che potrebbe contenere uno o più indirizzi IP DNS. Se vedi uno o entrambi gli indirizzi IP sopra indicati, inizia con “82.163”. allora il tuo Mac è stato infettato.
Se invece utilizzi una rete wireless, puoi copiare e incollare quanto segue nell’app Terminal sul tuo Mac:
networksetup -getdnsservers Wi-Fi
Se vedi uno degli indirizzi IP sopra che inizia con “82.163”. allora il tuo Mac è stato infettato. (Molto spesso vedrai il messaggio “Non ci sono server DNS impostati su Wi-Fi” o se hai aggiunto manualmente server DNS in passato li vedrai elencati).
Le soluzioni e la prevenzione
Si consiglia vivamente di eseguire la scansione del sistema con un antivirus come questo per verificare la presenza di infezioni persistenti.
Chi c’è dietro il malware?
Diversi domini referenziati all’interno del malware sono registrati da Anton Vodonaev, che presumibilmente si trova in Ucraina e i cui indirizzi e-mail contengono il nome “prolone”. Diversi domini che ospitano il binario del malware sono registrati a Vladislav Kakoshin a un indirizzo postale e a un codice postale diversi in Ucraina. Naturalmente, è del tutto possibile che questi nomi possano essere pseudonimi e che l’individuo o gli individui potrebbero non essere realmente in Ucraina. Tutti i domini registrati a questi nomi sono stati registrati il 30 maggio 2017 attraverso lo stesso registro dei nomi di dominio.
