MaMi : détournement de DNS sur macOS

Un malware pour le détournement de DNS a été repéré avec pour cible les ordinateurs Mac. Il est désormais détecté par plusieurs moteurs antivirus.
Alerté par une publication sur le forum de Malwarebytes, Patrick Wardle a eu vent d'un malware pour macOS a priori similaire à DNSChanger qui avait surtout sévi en 2012 avec du détournement de DNS.
Sur son site Objective-See pour des outils gratuits de sécurité pour macOS, l'ancien employé de la NSA et directeur de recherche chez Synack a confirmé la semaine dernière que le spécimen de nuisible a bel et bien la capacité de modifier les paramètres DNS.
Patrick Wardle a baptisé le malware OSX/MaMi. D'après son analyse, il n'est pas particulièrement avancé et a des ressemblances avec un nuisible pour Windows datant de 2015. Il installe un nouveau certificat racine pour permettre des attaques de type man-in-the-middle.
L'expert en sécurité ignore le vecteur d'infection, même s'il a retrouvé MaMi sur plusieurs sites. Manifestement en cours de développement, le malware laisse supposer une activation ultérieure d'autres actions.
Pour des ordinateurs potentiellement infectés, les paramètres DNS ont été modifiés en 82.163.143.135 et 82.163.142.137. Le certificat indésirable est dénommé cloudguard.me.
Good: detection for OSX/MaMi went from 0/59 to 26/59 on VirusTotal: https://t.co/JXSs0iRngo Bad: several AVs calling it 'OSX/DNSChanger' ...which IMHO, is dumb as there's an unrelated Mac malware from 2012, *already* called this (even has a wikipedia: https://t.co/VHetpnH811) ? pic.twitter.com/Aiq4EbiAy3
— patrick wardle (@patrickwardle) 15 janvier 2018
Lors de l'analyse par Patrick Wardle, VirusTotal n'avait renvoyé aucune détection. Aujourd'hui, ce sont 26 moteurs antivirus qui détectent le malware avec parfois le nom DNSChanger, même si dans l'absolu il n'est pas en rapport avec le malware de 2012.
-
Un nouveau malware circule actuellement sous Android avec pour particularité de permettre du contrôle à distance.
-
Un malware plutôt efficace et dangereux circule actuellement dans le code du client de Discord : il permet de récupérer des identifiants et mots de passe de comptes divers.
Vos commentaires
https://youtu.be/w6adcXXRcUU?t=12
Tu m'as grillé, j'allais proposer : https://www.youtube.com/watch?v=Bk-oRs4GfnM