Breaking News

MaMi มัลแวร์บน Mac ตัวแรกของปี 2018 เสี่ยงถูกไฮแจ็ก DNS

Patrick Wardle ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ Mac ออกมาแจ้งเตือนถึงมัลแวร์ตัวใหม่บนระบบปฏิบัติการ macOS เรียกว่า OSX/MaMi ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบ DNS ของอุปกรณ์ได้ นับว่าเป็นมัลแวร์ตัวแรกบน Mac ในปี 2018 นี้

มัลแวร์ตัวนี้ถูกพบครั้งแรกโดยอาจารย์ในโรงเรียนแห่งหนึ่งของสหรัฐฯ หลังจากที่พบว่าตัวเองไม่สามารถแก้ไขการตั้งค่า DNS Servers บน Mac ของตนได้ ซึ่งต่อมา Wardle ได้ทำการติดตามมัลแวร์ดังกล่าว พบว่า MaMi แฝงตัวอยู่ในเว็บไซต์ที่ชื่อว่า regargens[.]info โดยแพร่กระจายตัวในรูปของ Unsigned Mach-O 64-bit Binary ซึ่งตอนนี้คาดว่ายังไม่มีซอฟต์แวร์รักษาความมั่นคงปลอดภัยใดๆ ตรวจจับได้ ไม่เว้นแม้แต่ VirusTotal

Wardle ได้ทำการตรวจสอบซอร์สโค้ดของมัลแวร์ดังกล่าว พบว่ามีฟังก์ชันการทำงานที่หลากหลาย ไม่ว่าจะเป็นการติดตั้ง Local Certificate, ตั้งค่า DNS, ถ่ายรูปหน้าจอ, ควบคุมการคลิกเมาส์, รัน AppleScript, ดาวน์โหลดและอัปโหลดไฟล์ และรันคำสั่งต่างๆ อย่างไรก็ตาม มัลแวร์เวอร์ชันที่ค้นพบนี้ยังไม่สามารถใช้งานได้ทุกฟังก์ชัน ทำได้เพียงติดตั้ง Local Certificate, ตั้งค่า DNS Server และฟังก์ชันอื่นไม่กี่รายการเท่านั้น

เมื่อพิจารณาจากฟีเจอร์ทั้งหมดของ MaMi คาดว่าแฮ็กเกอร์คงกำลังออกแบบมัลแวร์มาให้เป็น Remote Access Trojan แต่ด้วยฟีเจอร์ตอนนี้ MaMi จัดเป็น DNS Hijacker เท่านั้น อย่างไรก็ตาม ฟีเจอร์ปัจจุบันก็เพียงพอต่อการโจมตีเหยื่อได้แล้ว เช่น ทำการติดตั้ง Root Certificate ใหม่และไฮแจ็ก DNS Server ก็ทำให้แฮ็กเกอร์สามารถโจมตีแบบ Man-in-the-Middle เพื่อขโมยข้อมูลสำคัญได้ทันที

DNS Server 2 รายการที่มัลแวร์เพิ่มเข้าไปยังเครื่องของเหยื่อ ได้แก่ 82.163.143.135 และ 82.163.142.137

ที่มา: https://www.bleepingcomputer.com/news/apple/the-first-mac-malware-of-2018-is-a-dns-hijacker-called-mami/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก