MaMi: Malware für Apple Mac verändert DNS-Einstellungen und ist Root-Bedrohung

Neben der von der Deutschen Telekom verwirrend kommunizierten Sicherheitslücke bot 6 gibt es für Netzwerke aktuell noch eine weitere Sicherheitswarnung. Wie der Sicherheitsforscher Patrick Wardle in seinem Blog aufzeigt, so kann die MaMi bzw. OSX/MaMi genannte Malware DNS-Einstellungen manipulieren sowie weitere Schäden anrichten. Befallen werden von MaMi vor allem Apple Mac-Systeme und die damit aufgebauten Netzwerke / Server. Die Schadsoftware soll aber auf der Windows-Malware DNSUnlocker basieren. Details habe ich euch im Folgenden zusammengefasst.

MaMi bzw. OSX/MaMi ist eine macOS-Malware für das DNS-Hijacking. Details zur Bedrohung für den Mac gibt es hier!

MaMi bzw. OSX/MaMi ist eine macOS-Malware für das DNS-Hijacking. Details zur Bedrohung für den Mac gibt es hier!

MaMi-Malware ändert DNS-Einstellungen am Mac

Die Schadsoftware namens MaMi soll in der Lage sein, in Apple Betriebssystemen wie Mac OS X und macOS Einstellungen im Bereich DNS (Domain Name System) zu ändern. Erste Meldungen zur Bedrohung sollen im Forum von Malwarebytes aufgetaucht sein, an denen sich Wardle bei seinen Untersuchungen auch orientiert hat. Hier ein paar Erkenntnisse aus der Analyse des „macOS DNS Hijacker“:

  • DNS-Hijacking
  • Erstellung von Screenshots
  • Simulation von Maus-Eingaben
  • Download von Dateien
  • Ausführungen von Code
  • Einrichtung als Autostart-Programm
  • Hosting auf mehreren Domains

Fazit und FAQ von Patrick Wardle

OSX/MaMi ist nicht besonders weit entwickelt – aber es ändern befallene Systeme auf eine ziemlich hässliche und hartnäckige Art. Durch die Installation eines neuen Root-Zertifikats und das Hijacking des DNS-Servers kann der Angreifer eine Reihe schädlicher Aktionen ausführen, wie beispielsweise Man-in-the-Middle-Aktionen im Traffic (um eventuell Berechtigungen zu stehlen oder Werbung einzufügen. (Übersetzung der „Conclusions“ aus dem oben verlinkten Blog-Beitrag)

Einschub – weitere interessante Beiträge im Blog:

Wie infiziert man das System mit OSX/MaMi?

Aktuell ist das noch unbekannt. Dennoch ist es möglich, dass die Angreifer Methoden nutzen wie bspw. E-Mails, webbasierte Fake-Sicherheitswarnungen respektive Popups oder auch Social-Engineering-Attacken, um auf Mac-User abzuzielen.

Wie finde ich heraus, ob mein System infiziert ist?

Schaut in die DNS-Einstellungen und prüft, ob sie auf 82.163.143.135 und / oder 82.163.142.137 gesetzt wurden. Untersucht das System außerdem im Hinblick auf das schädliche cloudguard.me Zertifikat.

Wie werde ich OSX/MaMi wieder los?

Am sichersten ist es, macOS neu zu installieren. Wenn einmal die Malware drauf war, dann ist es möglich, dass sie weitere Schadsoftware installiert oder einem Dritten Zugriff gegeben hat. Das Entfernen einzelner Dateien, Zertifikate, etc. hilft da nicht viel. Dennoch ist das Erste, was ihr tun solltet, die Dateien zu entfernen und den DNS-Server zu resetten.

Schützt mich Antivirus-Software?

Vielleicht. Jedoch ist MaMi eine relativ neue Bedrohung. Im eingangs verlinkten Blog-Eintrag werden Tools empfohlen, die ausgehenden Traffic aufspüren und blocken können. So könnt ihr eine Firewall erstellen, die Attacken abschwächt.

Was sagt der Name OSX/MaMi aus?

Der Name ist nicht an andere Malware angelehnt, die DNSChanger oder dergleichen heißen, sondern wurde nach einer Core Class benannt, die „SBMaMiSettings“ heißt. Details bietet der ausführliche Ratgeber zum Thema von Patrick Wardle im Objective See Blog (Englisch).

Sir Apfelot auf SteadyHQ unterstützen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.