OSX/MaMi

O OSX/MaMi é um Trojan sequestrador de DNS, voltado para usuários do SO do Mac. O malware OSX/MaMi foi identificado em janeiro de 2018, e é suspeito de ser distribuído através de falsos pop-ups de segurança de páginas inseguras da Web e falsas atualizações do navegador. O Trojan OSX/MaMi aproveita uma exploração de sequestro de DNS para alterar a configuração de acesso à Internet do usuário e redirecionar o tráfego de dados do usuário através dos servidores dos agentes de ameaça. Assim, todos os dados trocados entre os dispositivos infectados e a Web aberta podem ser lidos e descriptografados. Os agentes de ameaça por trás do sequestrador de DNS OSX/MaMi podem registrar dados confidenciais e corromper os pacotes de dados recebidos pelos dispositivos comprometidos.

O programa OSX/MaMi é executado como um executável de 64 bits que não possui uma assinatura digital e instala um novo certificado raiz para facilitara sua operação. O malware OSX/MaMi instala um certificado chamado 'cloudguard.me' que apresenta o nome da empresa 'GreenTeam Internet, Ltd.' O programa OSX/MaMi continua a alterar a configuração de DNS do usuário e define os seguintes servidores DNS: 82.163.143.135 e 82.163.142.137. Além disso, o programa OSX/MaMi expandiu recursos que permitem a captura de tela da área de trabalho do usuário; pode baixar e fazer o upload de arquivos; O OSX/MaMi pode executar comandos e também simular movimentos do mouse. A detecção do OSX/MaMi pode exigir que os usuários verifiquem os certificados de autoridade instalados no aplicativo System Keychain e verifiquem os servidores DNS listados no aplicativo Preferências do Sistema encontrado no painel Rede. Os programas AV atualizados devem incluir assinaturas para o sequestrador de DNS OSX/MaMi e removê-lo completamente.