Mami ou le nouveau virus qui menace macOS

Publié le 21 janvier 2018 par Yasszoug

Les utilisateurs de macOS doivent vivre avec une nouvelle menace importante, dont il faut se méfier, à savoir le malware Mami. Toutefois, il existe un problème de taille, c'est que ce malware n'est pas identifié par les antivirus... C'est un malware dont le nom pourrait prêter à sourire, mais ne vous y trompez pas. Mami est un nouveau malware qui cible MacOS. Découvert par le chercheur en sécurité Patrick Wardle, il possède la particularité de ne pas encore avoir été découvert par les antivirus. Ceux-ci le considèrent donc " clean " sur les 59 moteurs de VirusTotal.

Mami , le nouveau malware qui cible macOS
Mami fonctionne en changeant les paramètres DNS et en installant un certificat local. Son objectif ? L'interception de données avec une attaque de type " homme du milieu ", c'est-à-dire sans que la cible ne puisse se rendre compte de sa présence. Mami pourrait aussi faire des captures d'écran, dissimuler des scripts pour miner des cryptomonnaies ou télécharger et exécuter des fichiers.

De façon surprenante, il s'agit d'un système très similaire à un malware présent en 2015 sur les machines Windows baptisé DNSUnlocker. Au vu des similarités, le chercheur estime probable que les créateurs se sont contentés de l'adapter pour l'utiliser sur macOS.

Comment savoir si vous êtes touché ?
Bien entendu, avec un malware de ce type, la difficulté réside dans son identification. Il vous faudra donc prendre le temps de jeter un œil aux paramètres DNS de votre machine. Pour cela, rendez-vous dans le panneau des " préférences systèmes ". Si ceux-ci pointent vers les DNS de Mami (82.163.143.135 et 82.163.142.137.), alors votre machine est infectée. La méthode à suivre est alors de changer les DNS et de changer le certificat malveillant installé par Mami dans l'application keychain.

Toutefois, si cela ne fonctionne pas, les solutions à votre disposition sont peu nombreuses à ce jour. Vous pouvez ou réinstaller macOS, un processus un peu pénible, ou bien attendre les mises à jour de l'antivirus. Celui-ci sera alors capable d'effacer le malware. On peut espérer que cela ne prenne pas plus de quelques jours... Dans le pire des cas Patrick Wardle prévoit de proposer un firewall open-source permettant de bloquer Mami.