Aptiktas naujas macOS DNS užvaldymo kenkėjas

Saugumo ekspertai aptiko naują kenkėją nusitaikiusį į „Mac“ kompiuterius ir jų naudotojus.

Aptiktas naujas, pirmasis 2018 metais „macOS“ kenkėjas. Šis, saugumo ekspertų aptiktas kenkėjas įvardijamas kaip „nepatinkamas“ ir priskiriamas DNS pakeičiančių kenkėjų grupei. Šis naujas kenkėjas pakrikštytas „OSX/MaMi“ yra panašus į 2012 metais siautusiu ir milijonus kompiuterių visame pasaulyje apkrėtusia bacila.

Pirmasis pranešimas apie šį naują kenkėją pasirodė „Malwarebytes“ forume, kur naudotojas paskelbė įrašą apie kenkėją apkrėtusį jo draugo kompiuterį ir patyliukais pakeitusį DNS nustatymus. Kompiuterio DNS nustatymai buvo pakeisti taip, kad kompiuteris naudotų 82.163.143.135 ir 82.163.142.137 DNS serverius.

Po šios informacijos ex-NSA programišius Patrick Wardle patyrinėjo kenkėjišką kodą ir nustatė, kad tai iš tiesų yra „DNS Hijacker“ tipo kenkėjas, kuris be visa ko dar ir naudoja saugumo įrankius ir įdiegia naują root sertifikatą ir bando perimti šifruotus duomenis.

„OSX/MaMi“ nėra koks nors labai sudėtingas kenkėjas, tačiau sistemą jis apkrečia gana bjauriu ir sunkiai pašalinamu bei aptinkamu būdu.

Įdiegus naują root sertifikatą kompiuteryje ir užvaldžius DNS serverių nustatymus, programišius gali įgyvendinti eilę piktų ketinimų, tokių kaip: man-in-the-middle, kurių pagalba galia stebėti duomenis tame tarpe ir prisijungimo prie įvairių serverių ar paslaugų ar kompiuteryje įdiegti kriptovaliutų kalimo įrankius.

Be visa ko, „macOS“ skirtas „OSX/MaMi“ kenkėjas, kuris panašu dar yra tik pradinėje vystymosi stadijoje, turi ir žemiau išvardintas galimybes, kurių didelė dalis nėra dar aktyvyitojs jo 1.1.0 versijoje:

• daryti ekrano vaizdo kopijas
• generuoti įvairias pelės veiksmo imitacijas (pvz. paspaudimus tam tikrose ekrano vietose)
• būti automatiškai paleidžiamas
• persiųsti iš kompiuterio ir parsiųsti į kompiuterį įvairius failus
• paleisti įvairias komandas

Kokie šio kenkėjo autoriaus motyvai ir kaip šis kenkėjas plinta kol kas nėra žinoma. Tačiau, greičiausiai „OSX/MaMi“ „tėvas“ juos kol kas platina „bukais“ metodais ieškodamas patiklių ar neišprususių kompiuterių naudotojų: per elektroninius laiškus, interneto svetainėse rodomus netikrus pranešimus ir iššokančius langus, kuriuose teigiama neva kompiuteris yra apkrėstas ir reikia įdiegti tuos užkratus išvalančią aplikaciją ar socialinius tinklus, kuriuose būriuojasi „Mac“ kompiuterių naudotojai.

Norint patikrinti ar jūsų kompiuteris kartais nėra pasigavęs šios bacilos — paprasčiausiai tai padaryti atidarius System Preferences aplikaciją ir paspaudus ant Network piktogramos ir tada kairėje pusėje pažymėjus aktyvią tinklo sąsają (pavyzdžiui Wi-Fi arba Ethernet 1) patikrinti kokie yra DNS serverių adresai. Jei ten maršrutizatoriaus adresas — patikrinti kokie DNS serveriai naudojami galima arba pažiūrint maršrutizatoriaus DHCP nustatymus arba per „Terminal“ aplikaciją joje parašius nslookup google.com kur Server eilutėje bus parašytas naudojamas DNS serveris. Reikėtų patikrinti ar ten rašomas adresas nėra vienas iš 82.163.143.135 ar 82.163.142.137.

„VirusTotal“ teigia, kad nei viena iš 59-ų populiarių antivirusinių aplikacijų kol kas neaptinka šio kenkėjo ir šiam apsauga būtų naudoti kokį nors trečių šalių firewall’ą, kuris aptinka ir blokuoja įtartiną duomenų srautą. Vienas tokių yra Patrick’o sukurtas ir „GitHub“ tinkle patalpinta „macOS“ firewall’as pavadinimu „LuLu“ apsaugantis nuo įtartinų duomenų srautų ir „OSX/MaMi“ galimo duomenų pavogimo.