Baru dua minggu di tahun 2018 Periset keamanan sudah menemukan strain malware baru yang menargetkan perangkat Mac, dan malware itu disebut OSX/MaMi.
Korban pertama malware tersebut tampaknya adalah seorang guru di AS, yang mencurigai adanya infeksi malware setelah menyadari bahwa dia tidak dapat mengubah server DNS Mac miliknya.
Malware OSX/MaMi Ini Memiliki Beberapa Fitur Yang Cukup Menghawatirkan
Mengikuti beberapa penyandian pintar, pakar keamanan Mac, Patrick Wardle melacak malware dalam hosting di situs web yang berada di regardens[.]info.
Malware ini didistribusikan dalam bentuk biner Mach-O 64-bit yang tidak ditandai yang saat ini tidak memicu pendeteksian pada mesin pemindai agregat seperti VirusTotal.
Menganalisis source-code malware, Wardle juga mengatakan bahwa ia menemukan kode yang mengisyaratkan malware tersebut.
- Memasang sertifikat lokal
- Menyiapkan pengaturan DNS khusus
- Mengambil tangkapan layar
- Membajak klik mouse
- Menjalankan AppleScripts
- Mendapatkan persistensi peluncuran OS
- Download dan upload file
- Menjalankan perintah
Versi terbaru dari malware ini tidak mendukung sebagian besar fitur, namun hanya bisa mendapatkan persistensi boot, memasang sertifikat lokal, dan menyiapkan pengaturan server DNS khusus.
Dengan mempertimbangkan sisa fitur, Malware ini bisa jadi trojan dengan akses jarak jauh dalam pembuatannya, namun saat ini Wardle hanya bisa mengklasifikasikan malware ini sebagai pembajak DNS saja.
Malware OSX/MaMi Bisa Menjadi Ancaman Di Masa Mendatang
OSX/MaMi adalah sebuah malware yang cukup kuat namun malware ini juga tidak terlalu pintar dalam mengubah sistem yang terindeksi. Dengan menginstal sebuah root certifcate baru dan membajak server DNS, penyerang dapat melakukan berbagai tindakan berbahaya seperti man-in-the-middle.
Tapi periset keamanan khawatir malware bisa berkembang cukup cepat dan mungkin akan ada lebih banyak rahasia tersembunyi dalam kodenya.
Patrick Wardle mengatakan “Perhaps in order for the [more intrusive] methods [taking screenshots, executing commands] to be executed or for the malware to be persisted, requires some attack-supplied input, or other preconditions that just weren’t met in my VM. I’ll keep digging!,” jadi kita tunggu aja hasil riset selanjutnya.
Kedua server DNS yang ditambahkan malware ke host yang terinfeksi adalah:
82.163.143.135
82.163.142.137
