新的MacOS恶意软件，用合法的Apple ID签名，被发现监视HTTPS流量

根据McAfee实验室的数据，2016年苹果Mac电脑上的恶意软件攻击增加了744%，其研究人员已经发现了近46万个Mac恶意软件样本，这仍然只是野生Mac恶意软件总数的一小部分。

今天，CheckPoint的恶意软件研究团队发现了一个新的完全不可检测的Mac恶意软件，据他们说，它影响Mac OS X的所有版本，在VirusTotal上没有检测到任何恶意软件，并且“使用有效的开发人员证书（经苹果认证）签名”

配音杜克研究人员称，该恶意软件是通过协调的电子邮件钓鱼活动传播的，是第一个针对macOS用户的大型恶意软件。

该恶意软件旨在获得管理权限，并在目标系统上安装新的根证书，使攻击者能够拦截并获得对所有受害者通信的完全访问，包括SSL加密通信。

就在近三个月前，Malwarebytes的研究人员还发现了一种罕见的基于Mac的间谍恶意软件，名为果蝇，用于监视生物医学研究中心的计算机，多年来一直未被发现。

以下是DOK恶意软件的工作原理：

该恶意软件通过一封网络钓鱼电子邮件传播，伪装成一条关于他们的纳税申报表中假定不一致的信息，诱使受害者运行附加的恶意软件。zip文件，其中包含恶意软件。

由于恶意软件作者使用的是苹果签署的有效开发者证书，因此恶意软件很容易绕过看门人--苹果macOS操作系统的内置安全功能。有趣的是，DOK恶意软件在几乎所有的防病毒产品中都是检测不到的。

一旦安装，恶意软件会将自身复制到/Users/Shared/文件夹中，然后添加到“loginItem”中，以使其持久化，从而允许它在每次系统重新启动时自动执行，直到完成有效负载的安装。

然后，恶意软件在所有其他窗口的顶部创建一个窗口，显示一条消息，声称操作系统中存在安全问题，并且有可用的更新，用户必须输入其密码。

一旦受害者安装了更新，恶意软件将获得受害者机器上的管理员权限，并更改受害者系统的网络设置，允许所有传出连接通过代理。

根据检查站研究人员，“使用这些权限，恶意软件将安装brew，一个用于OS X的软件包管理器，它将用于安装其他工具–；TOR和SOCAT。”

DOK在设置攻击者的代理后删除自身

然后，该恶意软件会在受感染的Mac电脑中安装一个新的根证书，从而允许攻击者使用中间人（MiTM）攻击拦截受害者的流量。

研究人员说：“由于上述所有操作，当用户试图在网上冲浪时，用户的网页浏览器将首先向TOR上的攻击者网页询问代理设置。”。

“然后，用户流量通过攻击者控制的代理重定向，攻击者执行中间人攻击，并模拟用户试图浏览的各种网站。攻击者可以自由读取受害者的流量，并以任何他们喜欢的方式对其进行篡改。”

据研究人员称，几乎没有任何杀毒软件更新其特征数据库以检测DOK OS X恶意软件，因为一旦该恶意软件修改目标机器上的代理设置以进行拦截，就会自动删除。

苹果可以通过撤销被恶意软件作者滥用的开发者证书来解决这个问题。

同时，建议用户避免点击来自不可信来源的消息或电子邮件中的链接，并在验证您的根密码之前始终格外注意。

更新：苹果撤销Dok Mac恶意软件使用的证书

在这起事件曝光后，苹果对这个问题做出了回应，并吊销了DOK恶意软件背后的黑客使用的合法开发者证书，该证书可用于窃听受害者的通信，包括安全的HTTPS通信。

MalwareBytes在其博客文章中证实了这一点，文章写道：“苹果已经吊销了用于签署该应用程序的证书，因此，在这一点上，任何遇到该恶意软件的人都将无法打开该应用程序，也无法被其感染。”

它进一步补充道：“如果用户点击超过此警告打开应用程序，它将显示一条警告，文件无法打开，这只是掩盖没有打开任何文档的事实，如上所示。”

除此之外，苹果还于本周末发布了XProtect内置反恶意软件的更新，以防止现有和未来的DOK类型恶意软件攻击。