OSX/MaMi est le nom d’un nouveau malware qui touche les utilisateurs sur Mac. Il est détaillé par Patrick Wardle, un ancien de la NSA qui est un chercheur en sécurité.

Comment fonctionne le malware ? Il se charge d’installer un certificat root et de modifier les adresses DNS utilisées par le Mac. Les DNS sont utilisés par tous les appareils qui se connectent à Internet pour se rendre sur un site. Nous utilisons des adresses (comme iphoneaddict.fr) pour nous faciliter la tâche, mais les sites sont stockés sur des serveurs qui ont une adresse IP (comme 46.105.75.39). C’est là qu’interviennent les DNS pour faire le lien entre le nom de domaine et l’adresse IP.

Une fois que le malware est en place, un hacker peut réaliser des attaques « man-in-the-middle » et ainsi récupérer les identifiants et mots de passe de l’utilisateur, insérer de la publicité sur les sites qu’il visite pour générer de l’argent, mettre des scripts de minage de crypto-monnaies et plus encore. En réalité, OSX/MaMi permet d’aller plus loin, notamment en prenant des captures d’écran, en exécutant des commandes ou en téléchargeant des fichiers.

Nous ne savons pas encore si le nombre de personnes touchées par OSX/MaMi est important ou non. En attendant de le savoir, ouvrez Préférences Système, allez dans Réseau, cliquez sur le bouton Avancé, choisissez l’onglet DNS et vérifiez que les adresses suivantes ne sont pas présentes : 82.163.143.135 et 82.163.142.137. Si elles sont présentes, installez l’outil LuLu qui va bloquer les connexions. À ce jour, aucun antivirus ne détecte OSX/MaMi et le fait d’effacer les adresses DNS ne changent rien parce qu’elles se remettent toutes seules.