我身邊絕大部分的蘋(píng)果 Mac 電腦使用者都沒(méi)安裝安全軟件，因?yàn)樗麄冇X(jué)得沒(méi)必要。然而，Mac 電腦完全不需要擔(dān)心惡意軟件？顯然不是。

最近 ，國(guó)外一個(gè)惡意軟件研究團(tuán)隊(duì)又發(fā)現(xiàn)了一種新型的，常規(guī)方法難以檢測(cè)到的 Mac 惡意軟件。根據(jù)研究結(jié)果，該惡意軟件通吃所有版本的 Mac OS X。

該惡意軟件有個(gè)不錯(cuò)的名字叫 DOK，可對(duì)于 MacOS 用戶(hù)來(lái)說(shuō)一點(diǎn)也不 OK，因?yàn)樗堑谝粋€(gè)針對(duì) MacOS 用戶(hù)的大規(guī)模惡意軟件。

據(jù)雷鋒網(wǎng)了解，它主要通過(guò)電子郵件釣魚(yú)來(lái)傳播。用戶(hù)中招之后，DOK 惡意軟件會(huì)獲取計(jì)算機(jī)的管理權(quán)限，并安裝一個(gè)新的根證書(shū)，然后完全截獲受害者的所有網(wǎng)絡(luò)流量，包括 SSL 加密流量。

DOK 惡意軟件如何工作？

首先，DOK 惡意軟件通過(guò)一封釣魚(yú)郵件引誘受害者運(yùn)行一個(gè) ZIP 壓縮包里的惡意程序。

Mac 用戶(hù)都知道，蘋(píng)果電腦有一項(xiàng)名叫 Gatekeeper 的安全技術(shù)，可以保證用戶(hù)安裝擁有開(kāi)發(fā)者簽名的應(yīng)用，防止一些外來(lái)的惡意軟件。

▲ 蘋(píng)果電腦安全設(shè)置界面

然而在 DOK 惡意軟件的面前并未起到作用，因?yàn)?DOK 的作者不知從哪搞到了一個(gè)真實(shí)有效的證書(shū)簽名，直接繞過(guò)蘋(píng)果的 Gatekeeper 安全防護(hù)功能。

一旦被安裝，DOK 惡意軟件將自動(dòng)復(fù)制到/用戶(hù)/共享文件夾，然后將自己添加到開(kāi)機(jī)啟動(dòng)項(xiàng)中，每次電腦重啟它都會(huì)重新運(yùn)行。 

最關(guān)鍵的一步到了，惡意軟件會(huì)顯示一個(gè)消息窗口，開(kāi)始賊喊捉賊。它偽裝成系統(tǒng)自帶的升級(jí)提示，聲稱(chēng)在電腦發(fā)現(xiàn)了一個(gè)安全問(wèn)題，建議安裝更新以消除危險(xiǎn)，然后虛情假意地引導(dǎo)用戶(hù)輸入賬號(hào)密碼。

▲ 以假亂真的升級(jí)界面

一旦用戶(hù)安裝了所謂的安全更新，惡意軟件就會(huì)獲得管理員權(quán)限，并控制受害者系統(tǒng)的網(wǎng)絡(luò)設(shè)置，將電腦的所有對(duì)外流量指向攻擊者的惡意代理服務(wù)器。

▲ 蘋(píng)果電腦網(wǎng)絡(luò)代理界面

完成這一操作之后，DOK 惡意軟件會(huì)安裝一個(gè)新的根證書(shū)，用于攔截受害者的流量。受害者的所有網(wǎng)頁(yè)瀏覽、通訊等等對(duì)外的網(wǎng)絡(luò)流量都會(huì)經(jīng)過(guò)攻擊者的服務(wù)器，所有信息一覽無(wú)余。

最后，DOK 還會(huì)執(zhí)行自毀程序，把自己刪掉，但是所有代理設(shè)置已經(jīng)完成，他將持續(xù)監(jiān)控受害者。最后這一步很重要，根據(jù)調(diào)查，目前尚未發(fā)現(xiàn)一款殺毒軟件針對(duì) DOK 惡意軟件進(jìn)行了檢測(cè)和處理機(jī)制。而 DOK OSX 惡意軟件一旦修改完代理設(shè)置就自毀了，之后就更難發(fā)現(xiàn)。

Mac 用戶(hù)勿置身事外

DOK 惡意軟件只是最近發(fā)現(xiàn)的Mac 電腦惡意軟件的典型例子，事實(shí)上，目前針對(duì) Mac 系統(tǒng)的惡意程序已經(jīng)越來(lái)越多。

前不久邁克菲實(shí)驗(yàn)室（McAfee Labs）就發(fā)布了一個(gè)報(bào)告，表示針對(duì)蘋(píng)果電腦的惡意軟件攻擊次數(shù)增長(zhǎng)了744%，2016年他們發(fā)現(xiàn)了將近460000個(gè) Mac 惡意軟件樣本。當(dāng)然，還有很多是沒(méi)有被發(fā)現(xiàn)的。

比如2016年1月，Malwarebytes 研究人員就發(fā)現(xiàn)一款名為“果蠅" Mac 間諜軟件，當(dāng)這款軟件在生物醫(yī)學(xué)研究中心的電腦中被發(fā)現(xiàn)時(shí)，已經(jīng)存在多年，在這期間的所有信息都可能已經(jīng)失竊。

這里雷鋒網(wǎng)需要強(qiáng)調(diào)的是，對(duì)于系統(tǒng)安全，Mac 用戶(hù)無(wú)法再像過(guò)去那樣置身事外，同樣應(yīng)該警惕安全風(fēng)險(xiǎn)，畢竟，連電腦高手 、Facebook 創(chuàng)始人 扎克伯格都因?yàn)閾?dān)心“中招”而把自己的蘋(píng)果電腦的攝像頭封起來(lái)。

▲ 圖片來(lái)自網(wǎng)絡(luò)

因此，雷鋒網(wǎng)在此再次提醒各位蘋(píng)果電腦用戶(hù)不要點(diǎn)擊不受信任的鏈接和程序，一旦被要求輸入賬號(hào)密碼或者短信驗(yàn)證碼時(shí)，多長(zhǎng)個(gè)心眼。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。