Mac OS安全神话破灭!? Mac OS X恶意程式以苹果有效凭证拦截加密流量

示意图，与新闻事件无关。

Apple

Mac OS比较安全的神话可能要破灭了。安全业者Check Point上周发现首只大规模攻击的Mac OS X恶意程式，获得苹果有效凭证签发，并採取高明手法植入，进而拦截加密网页流量的内容。 

名为OS X/Dok的恶意程式包含在名为Dokument.zip的.zip档案中，经由网钓邮件散布。一旦执行，它会複製到/User/Shared/档案匣中，开始一连串动作。首先它植入新的loginItem避免用户重开机消失，并以挥之不去的扰人视窗(下图，来源：Check Point)宣称发现作业系统有安全问题，直到用户输入密码、安装所有的攻击程式为止。藉此偷到的用户密码则用作骇客日后在电脑上执行任意指令。

感染成功后，恶意程式即改变系统网路设定，将电脑流量透过预先安装的Tor用户端导到代管于暗网的代理伺服器，藉此读取裏面所有通讯内容，包括SSL加密的流量，或是窜改、插入伪造的网页内容。Dok之后还会在受害电脑上安装新的根凭证，使骇客得以利用中间人（MiTM）手法拦截受害电脑流量。利用这项假凭证，攻击者即能冒充任何网站骗取用户机密资讯而不被识破。 

安全公司指出，Dok如此複杂的手法，免费防毒扫瞄服务VirusTotal侦测率为0%。Check Point于今年4月21日才首次发现到。Dok影响所有版本的OS X，Check Point表示，它也是第一只配合网钓邮件针对OS X平台而来的大规模攻击恶意程式。 

这只恶意程式感染对象主要集中在欧洲。例如在德国就有用户遭到佯称退税资料不一致的网钓邮件哄骗而开启档案。