MaMi: Malware für Apple Mac verändert DNS-Einstellungen und ist Root-Bedrohung

Neben der von der Deutschen Telekom verwirrend kommunizierten Sicherheitslücke bot 6 gibt es für Netzwerke aktuell noch eine weitere Sicherheitswarnung. Wie der Sicherheitsforscher Patrick Wardle in seinem Blog aufzeigt, so kann die MaMi bzw. OSX/MaMi genannte Malware DNS-Einstellungen manipulieren sowie weitere Schäden anrichten. Befallen werden von MaMi vor allem Apple Mac-Systeme und die damit aufgebauten Netzwerke / Server. Die Schadsoftware soll aber auf der Windows-Malware DNSUnlocker basieren. Details habe ich euch im Folgenden zusammengefasst.

MaMi-Malware ändert DNS-Einstellungen am Mac

Die Schadsoftware namens MaMi soll in der Lage sein, in Apple Betriebssystemen wie Mac OS X und macOS Einstellungen im Bereich DNS (Domain Name System) zu ändern. Erste Meldungen zur Bedrohung sollen im Forum von Malwarebytes aufgetaucht sein, an denen sich Wardle bei seinen Untersuchungen auch orientiert hat. Hier ein paar Erkenntnisse aus der Analyse des „macOS DNS Hijacker“:

• DNS-Hijacking
• Erstellung von Screenshots
• Simulation von Maus-Eingaben
• Download von Dateien
• Ausführungen von Code
• Einrichtung als Autostart-Programm
• Hosting auf mehreren Domains

Fazit und FAQ von Patrick Wardle

OSX/MaMi ist nicht besonders weit entwickelt – aber es ändern befallene Systeme auf eine ziemlich hässliche und hartnäckige Art. Durch die Installation eines neuen Root-Zertifikats und das Hijacking des DNS-Servers kann der Angreifer eine Reihe schädlicher Aktionen ausführen, wie beispielsweise Man-in-the-Middle-Aktionen im Traffic (um eventuell Berechtigungen zu stehlen oder Werbung einzufügen. (Übersetzung der „Conclusions“ aus dem oben verlinkten Blog-Beitrag)

Einschub – weitere interessante Beiträge im Blog:

• Rhinoshield iPhone Hüllen – unkaputtbar!
• Parkopedia: Parkplätze in fremden Städten finden
• Apple-ID löschen
• CR2032, CR2016 und CR2025 – die Unterschiede
• Was ist HDMI Arc?

Wie infiziert man das System mit OSX/MaMi?

Aktuell ist das noch unbekannt. Dennoch ist es möglich, dass die Angreifer Methoden nutzen wie bspw. E-Mails, webbasierte Fake-Sicherheitswarnungen respektive Popups oder auch Social-Engineering-Attacken, um auf Mac-User abzuzielen.

Wie finde ich heraus, ob mein System infiziert ist?

Schaut in die DNS-Einstellungen und prüft, ob sie auf 82.163.143.135 und / oder 82.163.142.137 gesetzt wurden. Untersucht das System außerdem im Hinblick auf das schädliche cloudguard.me Zertifikat.

Wie werde ich OSX/MaMi wieder los?

Am sichersten ist es, macOS neu zu installieren. Wenn einmal die Malware drauf war, dann ist es möglich, dass sie weitere Schadsoftware installiert oder einem Dritten Zugriff gegeben hat. Das Entfernen einzelner Dateien, Zertifikate, etc. hilft da nicht viel. Dennoch ist das Erste, was ihr tun solltet, die Dateien zu entfernen und den DNS-Server zu resetten.

Schützt mich Antivirus-Software?

Vielleicht. Jedoch ist MaMi eine relativ neue Bedrohung. Im eingangs verlinkten Blog-Eintrag werden Tools empfohlen, die ausgehenden Traffic aufspüren und blocken können. So könnt ihr eine Firewall erstellen, die Attacken abschwächt.

Was sagt der Name OSX/MaMi aus?

Der Name ist nicht an andere Malware angelehnt, die DNSChanger oder dergleichen heißen, sondern wurde nach einer Core Class benannt, die „SBMaMiSettings“ heißt. Details bietet der ausführliche Ratgeber zum Thema von Patrick Wardle im Objective See Blog (Englisch).

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.