MaMi: Mac-Malware manipuliert DNS-Einstellungen

Sie basiert offenbar auf der Windows-Malware DNSUnlocker. MaMi installiert zudem ein neues Root-Zertifikat. Es erlaubt Man-in-the-Middle-Angriffe und unter Umständen auch den Diebstahl von Anmeldedaten.

Der Sicherheitsforscher Patrick Wardle weist auf eine neue Schadsoftware hin, die Nutzer von Mac OS X ins Visier nimmt. Die MaMi genannte Malware ist in der Lage, DNS-Einstellungen des Apple-Betriebssystems zu manipulieren. Aufmerksam wurde Wardle auf den Schädling über einen Eintrag im Forum des Sicherheitsanbieters Malwarebytes.

Malware (Bild: Shutterstock)Dort berichtete ein Nutzer über eine versehentlich installierte Software, die zu sogenanntem DNS-Hijacking führte. Obwohl der Nutzer die manipulierten Einstellungen für die DNS-Server entfernte, nutzte Mac OS X weiterhin die „falschen“ Einträge. Die Sicherheitssoftware von Malwarebytes erkannte indes lediglich eine unerwünschte Software namens „MyCoupon“, die als störend, aber nicht als gefährlich angesehen wird.

Eine Analyse ergab, dass MaMi um Funktionen für DNS-Hijacking sowie die Erstellung von Screenshots erweitert worden war. Zudem soll MaMi in der Lage sein, Maus-Eingaben zu simulieren, Dateien herunterzuladen, beliebigen Code auszuführen und sich als Autostartprogramm einzurichten. Die Malware wird zudem auf mehreren Domains gehostet – wie diese Domains kompromittiert wurden, ist Wardle zufolge jedoch nicht bekannt.

In Zusammenarbeit mit einem weiteren Sicherheitsforscher entwickelte Wardle die Theorie, dass MaMi auf der Windows-Malware DNSUnlocker basiert, die 2015 für DNS-Hijacking unter Windows benutzt wurde. Zudem sei MaMi keine ausgefeilte Schadsoftware. Es sei sehr einfach gewesen, sie zu entschlüsseln und ihre Konfigurationsdaten auszulesen. Dabei sei aufgefallen, dass MaMi über die Keychain-Access-App auch ein Zertifikat installiert, das Man-in-the-Middle-Angriffe ermöglicht.

„MaMi ist nicht sehr fortschrittlich, aber es verändert infizierte Systeme auf eine besonders fiese und hartnäckige Art“, ergänzte Wardle. „Durch die Installation eines neuen Root-Zertifikats und der Änderung des DNS-Servers kann der Angreifer eine Vielzahl von schädlichen Aktionen ausführen.“ Als Beispiele nannte er das Einfügen von unerwünschter Werbung oder den Diebstahl von Anmeldedaten.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Mac OS X, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu MaMi: Mac-Malware manipuliert DNS-Einstellungen

Kommentar hinzufügen
  • Am 17. Januar 2018 um 9:06 von tp

    Und wie behebt man das ganze?

    • Am 17. Januar 2018 um 14:26 von Klaus der Helfende

      A. Nix installieren, das unaufgefordert installiert werden will: „Dort berichtete ein Nutzer über eine versehentlich installierte Software, die zu sogenanntem DNS-Hijacking führte.“
      B. Die Installation geht nicht ohne Eingabe des Admin Passwortes – versehentlich wird da wohl nix installiert, und C. Ich würde die Zertifikate/Keychain prüfen und dann, wie im Malwarebytes Link beschrieben die entsprechenden DNS Adressen blocken: „So you could add the following two rules to simply deny any connections for system processes (like the mDNSresponder) to these addresses:…“

      Da ist auch beschrieben: „This malware called OSX/MaMi is an unsigned Mach-O 64-bit executable – that means, macOS will warn you when you run this executable and Little Snitch will warn you in case this unsigned process wants to make any network connections.

      Still – the tricky part comes in when you actually run the executable, enter your admin password and therefore allow it to change your system configuration, particularly your DNS configuration.“

      Ohne aktive Beihilfe wird so ein Angriff also kaum erfolgen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *