苹果macOS遭恶意软件针对 监控通信流量又很难发现

　　我身边绝大部分的苹果 Mac 电脑使用者都没安装安全软件，因为他们觉得没必要。然而，Mac 电脑完全不需要担心恶意软件？显然不是。

　　最近 ，国外一个恶意软件研究团队又发现了一种新型的，常规方法难以检测到的 Mac 恶意软件。根据研究结果，该恶意软件通吃所有版本的 Mac OS X。

　　该恶意软件有个不错的名字叫 DOK，可对于 MacOS 用户来说一点也不 OK，因为它是第一个针对 MacOS 用户的大规模恶意软件。

　　据雷锋网了解，它主要通过电子邮件钓鱼来传播。用户中招之后，DOK 恶意软件会获取计算机的管理权限，并安装一个新的根证书，然后完全截获受害者的所有网络流量，包括 SSL 加密流量。

　　DOK恶意软件如何工作？

　　首先，DOK恶意软件通过一封钓鱼邮件引诱受害者运行一个 ZIP 压缩包里的恶意程序。

　　Mac 用户都知道，苹果电脑有一项名叫 Gatekeeper 的安全技术，可以保证用户安装拥有开发者签名的应用，防止一些外来的恶意软件。

▲ 苹果电脑安全设置界面

　　然而在 DOK 恶意软件的面前并未起到作用，因为 DOK 的作者不知从哪搞到了一个真实有效的证书签名，直接绕过苹果的 Gatekeeper 安全防护功能。

　　一旦被安装，DOK 恶意软件将自动复制到/用户/共享文件夹，然后将自己添加到开机启动项中，每次电脑重启它都会重新运行。 

　　最关键的一步到了，恶意软件会显示一个消息窗口，开始贼喊捉贼。它伪装成系统自带的升级提示，声称在电脑发现了一个安全问题，建议安装更新以消除危险，然后虚情假意地引导用户输入账号密码。

▲ 以假乱真的升级界面

　　一旦用户安装了所谓的安全更新，恶意软件就会获得管理员权限，并控制受害者系统的网络设置，将电脑的所有对外流量指向攻击者的恶意代理服务器。

▲ 苹果电脑网络代理界面

　　完成这一操作之后，DOK 恶意软件会安装一个新的根证书，用于拦截受害者的流量。受害者的所有网页浏览、通讯等等对外的网络流量都会经过攻击者的服务器，所有信息一览无余。

　　最后，DOK 还会执行自毁程序，把自己删掉，但是所有代理设置已经完成，他将持续监控受害者。最后这一步很重要，根据调查，目前尚未发现一款杀毒软件针对 DOK 恶意软件进行了检测和处理机制。而 DOK OSX 恶意软件一旦修改完代理设置就自毁了，之后就更难发现。

　　Mac用户勿置身事外

　　DOK 恶意软件只是最近发现的Mac 电脑恶意软件的典型例子，事实上，目前针对 Mac 系统的恶意程序已经越来越多。

　　前不久迈克菲实验室（McAfee Labs）就发布了一个报告，表示针对苹果电脑的恶意软件攻击次数增长了744%，2016年他们发现了将近460000个 Mac 恶意软件样本。当然，还有很多是没有被发现的。

　　比如2016年1月，Malwarebytes 研究人员就发现一款名为“果蝇“ Mac 间谍软件，当这款软件在生物医学研究中心的电脑中被发现时，已经存在多年，在这期间的所有信息都可能已经失窃。

　　这里雷锋网需要强调的是，对于系统安全，Mac 用户无法再像过去那样置身事外，同样应该警惕安全风险，毕竟，连电脑高手 、Facebook 创始人 扎克伯格都因为担心“中招”而把自己的苹果电脑的摄像头封起来。

　　▲ 图片来自网络

　　因此，雷锋网（公众号：雷锋网）在此再次提醒各位苹果电脑用户不要点击不受信任的链接和程序，一旦被要求输入账号密码或者短信验证码时，多长个心眼。