Mac OS安全神話破滅!? Mac OS X惡意程式以蘋果有效憑證攔截加密流量－Kgikjgjh的部落格

201705170315

Mac OS比較安全的神話可能要破滅了。安全業者首隻大規模攻擊的Mac OS X惡意程式，獲得蘋果有效憑證簽發，並採取高明手法植入，進而攔截加密網頁流量的內容。名為OS X/Dok的惡意程式包含在名為Dokument.zip的.zip檔案中，經由網釣郵件散佈。一旦執行，它會複製到/User/Shared/檔案匣中，開始一連串動作。首先它植入新的loginItem避免用戶重開機消失，並以揮之不去的擾人視窗(下圖，來源：Check Point)宣稱發現作業系統有安全問題，直到用戶輸入密碼、安裝所有的攻擊程式為止。藉此偷到的用戶密碼則用作駭客日後在電腦上執行任意指令。感染成功後，惡意程式即改變系統網路設定，將電腦流量透過預先安裝的Tor用戶端導到代管於暗網的代理伺服器，藉此讀取裏面所有通訊內容，包括SSL加密的流量，或是竄改、插入偽造的網頁內容。Dok之後還會在受害電腦上安裝新的根憑證，使駭客得以利用中間人（MiTM）手法攔截受害電腦流量。利用這項假憑證，攻擊者即能冒充任何網站騙取用戶機密資訊而不被識破。安全公司指出，Dok如此複雜的手法，免費防毒掃瞄服務VirusTotal偵測率為0%。Check Point於今年4月21日才首次發現到。Dok影響所有版本的OS X，Check Point表示，它也是第一隻配合網釣郵件針對OS X平台而來的大規模攻擊惡意程式。這隻惡意程式感染對象主要集中在歐洲。例如在德國就有用戶遭到佯稱退稅資料不一致的網釣郵件哄騙而開啟檔案。