注意防範！macOS 上出現新的 DNS 惡意劫持程序

近日 macOS 上出現了新的惡意軟體，該軟體版本會劫持 DNS 並且持久地感染你的系統。

該惡意程序被稱為 OSX/MaMi，其消息最早出現在 Malwarebytes 論壇上，很快有黑客跟進，發現它實際上是一個 DNS 劫持軟體，並且會通過進一步安裝證書來劫持系統加密通訊。

OSX/MaMi 並沒有運用什麼先進的技術，只是以一種簡單、持久的方式改變了系統設置。通過安裝根證書和劫持 DNS，攻擊者可以執行中間人攻擊，竊取用戶身份憑證、注入廣告等。

另外它覆蓋的範圍也擴展到某些滑鼠操作，比如：截屏、生成模擬滑鼠操作、下載和上傳文件、執行命令等，還有很多無法查明的攻擊，攻擊者可能使用相當低端的惡意電子郵件方式，偽造安全警報和彈出窗口。

到目前為止，殺毒軟體等還不能檢測 OSX/MaMi。用戶怎麼樣才知道有沒有感染該惡意軟體？最好的辦法是檢查 DNS 設置，如果 DNS 被設置為 82.163.143.135 和 82.163.142.137，說明感染了惡意軟體。

另外可以檢查有沒有被安裝惡意證書 cloudguard.me，如果安裝的話會看到：

這類惡意劫持工具會安裝其他的惡意軟體，或者允許遠程攻擊者執行一些命令。因此，如果用戶發現感染了該惡意軟體，請儘快刪除惡意 DNS 設置並且移除安裝的惡意證書。

刪除惡意的 DNS 設置：

打開系統設置，點擊網路—高級—DNS，如果設備感染，就會看到惡意的 DNS 伺服器地址 82.163.143.135 和 82.163.142.137。選擇每個地址，點擊刪除按鈕。

移除證書：

打開 Keychain Access 應用，點擊系統，如果系統設置（system），如果設備感染，就會看到惡意的證書（cloudguard.me），點擊刪除進行移除。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！