最近,macOS 上出现了新的恶意软件。
该软件版本将劫持 DNS 并永久感染您的系统。
该恶意程序名为 OSX/MaMi。
相关消息首先出现在 Malwarebytes 论坛上。
黑客很快跟进,发现它实际上是一个DNS劫持软件,会通过进一步安装证书来劫持系统的加密通信。
OSX/MaMi没有使用任何先进的技术,它只是以一种简单而持久的方式改变系统设置。
通过安装根证书和劫持 DNS,攻击者可以执行中间人攻击、窃取用户凭据、注入广告等。
此外,其覆盖范围还延伸到某些鼠标操作,例如截图、生成模拟鼠标操作、下载和上传文件、执行命令等。
还有许多身份不明的攻击,攻击者可能会使用相当低端的恶意电子设备。
电子邮件、虚假安全警报和弹出窗口。
目前杀毒软件等无法检测到OSX/MaMi。
用户如何知道他们是否感染了该恶意软件?最好的办法是检查 DNS 设置。
如果DNS设置为82.163.143.135和82.163.142.137,则表明存在恶意软件感染。
另外,您还可以检查是否安装了恶意证书cloudguard.me。
如果安装了它,您将看到此类恶意劫持工具会安装其他恶意软件或允许远程攻击者执行某些命令。
因此,如果用户发现自己感染了该恶意软件,请尽快删除恶意DNS设置并删除已安装的恶意证书。
删除恶意DNS设置:打开系统设置,点击网络-高级-DNS,如果设备被感染,你会看到恶意DNS服务器地址82.163.143.135和82.163.142.137。
选择每个地址并单击删除按钮。
删除证书:打开Keychain Access应用程序,单击系统,如果设置了系统(system),如果设备被感染,您将看到恶意证书(cloudguard.me),单击删除将其删除。