Mami : un nouveau malware sévit sur macOS et intercepte le trafic des victimes
Sécurité : Un nouveau malware a été repéré sur macOS. Connu sous le nom de Mami, celui-ci modifie les paramètres DNS de la machine cible ainsi que les certificats root utilisés par l’ordinateur.
Le chercheur Patrick Wardle, qui maintient le blog Objective See, décortique un nouveau malware découvert sur macOs et pour l’instant ignoré par les antivirus. Baptisé Mami, celui-ci a été repéré suite à une publication d’un utilisateur sur le forum MalwareBytes qui ne parvenait pas à comprendre pourquoi les paramètres DNS d’une machine ne voulait pas revenir à la normale. Le problème provenait d’un virus, que les antivirus de type MalwareBytes n’avaient pas encore ajouté à leur base de signature et ne parvenaient donc pas à détecter.
Le chercheur Patrick Wardle a donc entrepris de décortiquer l’échantillon de malware ainsi prélevé. Le vecteur de propagation de ce nouveau malware reste pour l’instant inconnu mais les fonctionnalités dont ils disposent sont en revanche assez facile à identifier. Le malware cherche tout d’abord à modifier les serveurs DNS utilisés par la machine, puis il installe un nouveau certificat root sur la machine.
Ces différentes modifications semblent être utilisées pour procéder à une interception du trafic de la cible, via un scénario d’attaque de type « homme du milieu. » Le malware dispose néanmoins d’autres fonctionnalités, mais celles-ci ne sont apparemment pas utilisées par le logiciel. Parmi les autres cordes ajoutées à l’arc de Mami, on peut ainsi trouver des fonctionnalités permettant de prendre des captures d’écran, télécharger et exécuter de nouveaux fichiers, générer de faux mouvements de souris, et d’autres fonctionnalités embarquées dans le code du malware.
Le chercheur remarque que ce malware présente de nombreuses similarités avec un précédent logiciel malveillant repéré sur des machines Windows baptisé DNSUnlocker. Celui-ci, actif aux alentours de 2015, changeait les DNS de ses victimes en les redirigeant vers des adresses très proches de celles utilisées par Mami.
Le certificat utilisé par les deux malware est également strictement identique. On peut donc imaginer que les créateurs de DNSUnlocker se sont contentés de reprendre et modifier leur malware afin de le porter vers macOS, où il sévit actuellement.
Pour détecter l’infection, il convient donc de jeter un œil aux paramètres DNS de la machine afin de vérifier si ceux-ci ne pointent pas vers les DNS utilisés par Mami (82.163.143.135 et 82.163.142.137.) Pour se débarrasser du malware, on peut simplement changer à nouveau les DNS et désinstaller le certificat malveillant mis en place par Mami dans l’application keychain de macOS.
Pour être sur de son coup, le chercheur conseille de réinstaller macOS, ou d’attendre les mises à jour des antivirus afin de pouvoir détecter et effacer ce nouveau malware.
/image%2F2004894%2F20200130%2Fob_bf0b54_enti-virus-avast.jpg)
/image%2F2004894%2F20200123%2Fob_6f2b6a_video.jpg)
/image%2F2004894%2F20200121%2Fob_b106f5_aaaaagoogle-explorer-firefox.jpg)
/image%2F2004894%2F20200103%2Fob_60d0c4_tok1.jpg)