Menu
Sub menu
Haal meer uit je Mac, iPad, iPhone en Watch
iCreate 162Aan de slag met alles in macOS Sequoia 🐿️
iCreate 162

Nieuwe malware luistert je internetverkeer af en maakt screenshots

Auteur: Sven Lamers
0 reacties

Op dit moment is er weer een nieuwe malware voor Mac-gebruikers die een aantal erg problematische functies heeft. Het gaat om een zogeheten DNS-hijacker die al je internetverkeer omleidt via kwaadwillenden. Bovendien wordt er een nieuw root-certificaat geïnstalleerd, De malware werd ontdekt door de bekende beveiligingsonderzoeker Patrick Wardle. Hij heeft hem al geanalyseerd en gaf hem de naam MaMi. Hoe gebruikers besmet raken is nog niet bekend. Een gebruiker op het MalwareBytes-forum had MaMi op de computer van een kennis ontdekt die van tevoren iets ‘per ongeluk had geïnstalleerd’.

Malware Mac MaMi

Malware met eigen certificaat

Volgens Wardle heeft de malware een aantal functies die hem zeer gevaarlijk maken. Het eerste wat MaMi doet, is de DNS-instellingen van je Mac veranderen. Hierdoor worden alle DNS-requests (en dus je internetverkeer) naar de servers van de malware-ontwikkelaars gestuurd. Typ je bijvoorbeeld www.facebook.com in de adresbalk van je browser, weet de ontwikkelaar dat je daarheen gaat. Sterker nog: hij kan je dan zelfs naar een phishing-website sturen die oogt als Facebook, maar alleen bedoeld is om je wachtwoord te jatten.

Daarnaast installeert MaMi een eigen root-certificaat in de macOS-sleutelhanger. Waarom dat precies gebeurt, is niet onduidelijk. Het maakt in theorie echter ‘man-in-the-middle’-aanvallen mogelijk. Het is denkbaar dat gebruikers naar een SSL-versleutelde bankieren-website worden gestuurd, die echter onder beheer van de malware-ontwikkelaars staat.

Screenshots, up- en downloads


kooptip


De iPhone 16 Pro Max nu met €100 inruilbonus!


De iPhone 16 Pro Max nu met €100 inruilbonus!

Maximale korting en dubbele data als je thuis internet van KPN hebt

MaMi kan echter niet alleen je internetverkeer afluisteren en veranderen, hij maakt ook screenshots, de muiscursor bewegen en klikken, zichzelf opnieuw starten, evenals bestanden up- en downloaden. Toen Wardle de malware analyseerde, kon geen van de gebruikelijke virusscanners MaMi herkennen. Mogelijk is dit echter al veranderd.

Controleer of je veilig bent

Het is heel gemakkelijk om te controleren of je Mac besmet is met MaMi. Ga naar ‘Systeemvoorkeuren>Netwerk’ en check de ip-adressen die bij ‘DNS-server’ staan. Komen die overeen met 82.163.143.135 en 82.163.142.137 ben je besmet. Via ‘Geavanceerd>DNS’ verwijder je deze adressen. In het programma Sleutelhangertoegang zoek je daarnaast naar een certificaat van ‘cloudguard.me’. Als dat bestaat, verwijder je het uiteraard.