Beveiligingsonderzoeker Patrick Wardle heeft een nieuw malware-exemplaar voor macOS ontdekt die dns-instellingen van besmette computers wijzigt, een rootcertificaat installeert, screenshots kan maken, bestanden kan downloaden en uploaden, commando's kan uitvoeren en andere zaken kan doen.
De malware wordt MaMi genoemd en werd op het moment van de ontdekking door geen enkele virusscanner op VirusTotal gedetecteerd. Dit is de online virusscandienst van Google waar gebruikers verdachte bestanden door zo'n 60 verschillende anti-virusengines kunnen laten scannen. De app die MaMi bevat is niet gesigneerd, wat inhoudt dat gebruikers bij het openen een waarschuwing te zien krijgen. Als gebruikers de malware toch uitvoeren zal die de dns-instellingen aanpassen en een rootcertificaat installeren.
Op deze manier kan het verkeer van slachtoffers worden onderschept en aangepast, zonder dat die een waarschuwing te zien krijgen. Een aanvaller kan zo inloggegevens stelen of bijvoorbeeld advertenties in het webverkeer injecteren. Hoe MaMi zich precies verspreidt is onbekend, maar Wardle vermoedt dat er van social engineering gebruik wordt gemaakt. In een analyse van de malware laat Wardle zien hoe gebruikers kunnen achterhalen of ze besmet zijn. In dit geval zijn er andere dns-servers ingesteld.
Volgens de onderzoeker gaat het zeer waarschijnlijk om nieuwe Mac-malware. Het aanpassen van de dns-instellingen en het installeren van een rootcertificaat is niet nieuw. Vorig jaar werd een malware-exemplaar met dezelfde eigenschappen ontdekt die was ontwikkeld om gegevens voor internetbankieren te stelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.