Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.A และ Trojan.OSX.DNSChanger ซึ่งทางผู้ผลิตอุปกรณ์ตรวจจับรายอื่นก็กำลังออก Signatures สำหรับตรวจจับออกมาเร็วๆนี้
นักวิจัยได้รับตัวอย่างมัลแวร์ MaMi จากผู้ใช้ mac ในฟอรัมของ Malwarebytes โดยผู้ใช้ได้แจ้งว่าถูกโจมตี และยึดระบบ DNS โดยพบว่ามีการตั้งค่าเป็น 82[.]163[.]143[.]135 และ 82[.]163[.]142[.]137 เมื่อทำการวิเคราะห์ตัวอย่างมัลแวร์ที่ได้มาพบว่า มัลแวร์มีความสามารถในการทำสกรีนช็อต, จำลองการทำงานของเมาส์, ดาวน์โหลดและ อัพโหลดไฟล์ รวมถึงสามารถรัน Commands ได้ ถึงแม้ไม่พบว่ามัลแวร์ได้มีการทำงานตามฟังก์ชันดังกล่าว แต่น่าจะเป็นไปได้ว่าเงื่อนไข หรือปัจจัยบางอย่างอาจจะไม่ครบถ้วน ทำให้มันไม่ได้ทำงานตามฟังก์ชันดังกล่าว นอกจากนี้เมื่อทำการยึดเครื่องได้ มัลแวร์ดังกล่าวจะมีการติดตั้ง certificate ใหม่ลงบนเครื่องผ่านการ remote
ทั้งนี้ยังไม่สามารถระบุได้ว่ามัลแวร์แพร่กระจายอย่างไร ผู้เชี่ยวชาญเชื่อว่ามัลแวร์ดังกล่าวอาจถูกส่งผ่านทางอีเมล, การแจ้งเตือนความปลอดภัยปลอม และ Pop-ups บนเว็บไซต์ หรือการโจมตีทางวิศวกรรมทางสังคม (social engineering attacks) โดยวิธีที่ง่ายที่สุดในการตรวจสอบว่าระบบติดมัลแวร์ MaMi หรือไม่ สามารถทำได้โดยตรวจสอบการตั้งค่าของ DNS ว่ามีค่าเป็น 82[.]163[.]143[.]135 และ 82[.]163[.]142[.]137 หรือไม่ และยังไม่พบว่ามัลแวร์ดังกล่าวสามารถทำงานบน Windows ได้
ที่มา : securityweek
You must be logged in to post a comment.