macOS 新惡意軟體「 MaMi 」，將竄改你的 DNS 導流到惡意網站

很多人以為 macOS 沒有病毒，是一塊世界和平的人間淨土，從近來頻頻發現針對 macOS 的惡意軟體硬生生打破這個先入為主的成見。這幾天，研究人員發現新的 惡意軟體「 MaMi 」，這壞東西不僅會竄改你的 DNS，還會劫持你的流量到一些不曾造訪的惡意網站，非常可惡！

macOS 新惡意軟體「 MaMi 」，將劫持你的 DNS 導流到惡意網站

國外一位以 Apple 為主要研究重點的研究員 Patrick Wardle 在他的個人部落格 Objevtive – See 中發表一篇文章，裡頭提到在 Malwarebytes 論壇中看到有一位使用者發布一個 DNS 被劫持的問題，不過由於近期並沒有任何關於竄改 DNS 的惡意軟體被發現，在好奇心驅使下 Patrick 開始研究這個前所未見的狀況。

▲上文中內容大致是說：我正在協助一位老師，他不小心在電腦中裝了些東西，DNS 似乎被駭了，就算手動刪除違規的 DNS 仍然不斷自己回復，而且查看後並沒有看到任何外掛、項目被啟動或任何明顯的狀況。

根據 他的進一步研究表示，這個隱形的惡意軟體 MaMi 目前所做的事情就是在不知不覺間竄改你的 DNS，並且導引到一些惡意網站去，不過他也發現其實在 MaMi 中還有尚未被啟用的功能，包含了竊取密碼、截圖、下載文件與軟體、運行其他軟體並注入假的安全憑證等。

▲此為 Mami 正在擅自下載安全憑證 dctata.bin

據推測，這款惡意軟體是需要經過使用者授權的，而病毒製作者經常會放置一些誘導性的按鈕令使用者在不知不覺間將權限全盤交出，例如最常見的 Flash Player 更新等，Patrick 表明以現在的分析進度看來並沒有發現惡意軟體是透過什麼媒介來散布，可以確認的是它被隱藏在各種網站上面。雖然目前並不清楚 MaMi 影響到多少 macOS 產品，但你可以檢查一下自己的 DNS，如果發現有 82.163.143.135 或 82.163.142.137 ，很有可能就是被 MaMi 入侵後所改掉的，你可以把它修改唯一些乾淨的 IP 位址，像是 Google 的 8.8.8.8、8.8.8.4 或 OpenNDS 的 208.67.2222.222、208.67.220.220 來防止流量偷跑，並且用防毒軟體好好清查一次電腦。

※macOS 設備如何查看 NDS？
1. 開啟「系統偏好設定」，選擇「網路」

2. 選擇「進階」

3. 在「DNS」頁籤中查看。

◎資料來源：Objevtive – See