隐身MAC恶意软件间谍加密浏览器流量

针对MacOS用户的新恶意软件程序能够在加密的浏览器流量上窃取窃听敏感信息。

通过Check Point Softwardies的研究人员称之为新计划，通过Check Point Softwardies，通过电子邮件网络钓鱼活动向欧洲用户分发。

其中一个流氓电子邮件被制作，看起来好像是瑞士政府机构警告收件人，关于其纳税申报表的明显错误。将恶意软件连接到电子邮件中作为一个名为dokument.zip的文件。

osx / dok有趣的是它与有效的Apple开发人员证书进行了数字签名。这些证书由Apple向其开发人员计划的成员发出，并且需要在官方Mac App Store中发布应用程序。

使用Apple颁发的开发人员证书签名的应用程序也可以安装在最新版本的MacoS上，而无需触发安全错误或需要手动覆盖，因此它不难看出为什么对恶意软件程序有价值。

如果Dok的创作者通过将Apple的开发人员计划与假身份加入Apple的开发人员或者如果他们从合法的开发人员那里窃取证书，则不清楚代理人。

一旦安装在Mac上，OSX / Dok会显示有关需要安装的系统安全更新的假和持久通知。同意安装更新的用户将提示他们的管理员密码。

一旦恶意软件获取提升的权限，它将使活动用户成为永久管理员，因此当恶意软件在后台执行特权命令时，操作系统将永远不会再询问密码。

Dok还将修改系统的网络设置，以通过由攻击者控制的代理服务器路由Web流量，并位于Tor匿名网络上。为了使其工作，它还安装了一个Tor客户端，即自动启动。

通过代理服务器路由Web流量的原因是执行中间人（MITM）攻击并解密安全的HTTPS连接。这是通过在系统上安装流氓根证书来实现的，然后在通过代理时将用于解密和重新加密HTTPS连接。

使用此方法，当用户访问HTTPS网站时，用户将继续在浏览器中继续在浏览器中看到SSL可视指示器，并且浏览器不会抱怨不受信任的证书。

侦听HTTPS流量的能力允许攻击者窃取敏感的信息，如电子邮件的密码;社交媒体和网上银行账户;在购物网站上输入的信用卡详细信息;个人和财务信息输入了Web表格;和更多。

在普通用户的浏览器中拥有超过一半的Web流量，现在是攻击者诉诸中间技术来捕获敏感数据的攻击者并不令人惊讶。

此类和其他功能使DOK成为迄今为止定位MACOS的最复杂的恶意软件程序之一，而不计算国家国家和执法机构创建或使用的间谍计划。

“我们仍然是与Apple [员工]直接联系，谁是非常乐于助人和响应的，”Yaniv Balmas，Check Point“的恶意软件研究团队负责人通过电子邮件表示。“随着苹果的合作，我们认为这一具体的运动现在是徒劳的，不再对Mac用户构成任何威胁。”

检查点正在寻找相关的攻击活动和这种恶意软件的其他可能的变体，这可能一直保持不明显。

“避免感染的最佳方式和类似类型的恶意软件是保持警报，同时从不受信任或未知来源打开电子邮件和文件，”Balmas说。