Un nuevo malware contra macOS se dedica a secuestrar las DNS

Share this…

Investigadores de Objetive-See han publicado los detalles de un nuevo malware que se dedica a secuestrar las DNS en el sistema operativo macOS y que, al menos de momento, parece indetectable.

Siendo bautizado como OSX/MaMi, se trata de un ejecutable Mach-O de 64-bit que tiene algunas similitudes con DNSChanger, un malware multiplataforma (afectaba a Windows, Mac y Linux) que infectó a millones de ordenadores en el año 2012. Poniéndonos en situación, tanto DNSChanger como OSX/MaMi se dedican a modificar las DNS configuradas en el sistema operativo para así desviar el tráfico a servidores maliciosos dedicados a recopilar información sensible.

La primera vez que OSX/MaMi se dio a conocer fue en el foro de Malwarebytes, donde un usuario publicó sobre un malware desconocido que había cambiado de forma inadvertida la configuración de las DNS del ordenador Mac de un amigo, estableciendo las direcciones IP a 82.163.143.135 y 82.163.142.137. El exhacker de la NSA Patrick Wardle analizó el malware, descubriendo que se trataba de un secuestrador de DNS que se apoya en las herramientas de seguridad para instalar un nuevo certificado raíz con el fin interceptar comunicaciones cifradas mediante man-in-the-middle, abriendo la puerta a otras acciones maliciosas como el minado de criptomonedas.

DNS configuradas en macOS tras la infeccion de OSX/MaMi

OSX/MaMi no parece ser un malware que se encuentre en un estado muy avanzado de su desarrollo (apareció hace poco y se encuentra en sus primeras versiones). La versión 1.1.0 de este malware tiene las siguientes capacidades:

  • Capturas de pantalla.
  • Simular eventos con el ratón.
  • Descargar y subir ficheros.
  • Ejecutar órdenes remotas.
  • Podría ser capaz de poner en marcha elementos persistentes.

Al ser un malware aparentemente reciente, todavía no se conocen cuáles son las verdaderas intenciones de sus desarrolladores. Se especula que los atacantes podrían estar utilizándolo para enviar correos electrónicos maliciosos, incrustar falsas alertas o ventanas emergentes en la navegación web de la víctima o incluso realizar ataques de ingeniería social contra los usuarios de Mac.

Sería recomendable para todos los usuarios de Mac revisar las DNS que se tienen configuradas en el sistema operativo. En caso de ser 82.163.143.135 y 82.163.142.137, significa que el usuario está infectado por OSX/MaMi. Como medida de prevención se recomienda utilizar un firewall que pueda detectar y bloquear el tráfico saliente.

Fuente:https://www.muyseguridad.net/2018/01/15/malware-macos-secuestrar-dns/