安全分析公司 Check Point周四发布了一篇令人震惊的博客文章，内容涉及一种新的恶意 macOS 特洛伊木马，该木马似乎能够绕过 Apple 的保护措施，并可以在用户不知情的情况下劫持和嗅探进出 Mac 的所有流量。这将包括 SSL/TLS 加密连接，因为恶意软件会安装一个本地数字证书，该证书会覆盖正常的中间人警告和保护。

这种被 Check Point 称为 OSX/Dok 的恶意软件通过网络钓鱼攻击进行传播，Check Point 称该攻击主要针对欧洲用户。显示的一条消息是德语，签名部分说它来自瑞士税务局。该电子邮件包含一个 ZIP 文件附件，必须保存、打开该附件，然后启动其中的一个项目。从描述中不清楚用户是否必须输入管理密码，但根据步骤，这似乎是可能的。在执行时，恶意软件会执行各种恶意行为，例如复制自身和运行 shell 命令，以及安装启动项以便在每次重新启动时启动。

Check Point 表示恶意软件是使用有效的 Apple 开发人员证书签名的，这在以前发生过。恶意方可能会劫持合法开发者的帐户，或注册和使用(并销毁)该证书。借助可检出的证书，macOS Gatekeeper会将应用程序识别为合法应用程序，并且不会阻止其执行。

Apple 确认没有绕过 Gatekeeper。该开发人员证书已被吊销，这将阻止它在没有警告的情况下在未来启动。Apple 已经确认它更新了 XProtect，它的静默恶意软件签名系统，以抵御它。没有迹象表明有多少用户可能被感染，因为 Check Point 的研究团队在野外遇到了它。

与几乎所有的 macOS 恶意软件一样，OSX/Dok 需要一个天真的用户，他们接受表面价值的网络钓鱼电子邮件，并愿意提取和启动他们不期望且不熟悉的文件。对此的主要例外是两个版本的洪流软件传输的颠覆，其中合法副本被黑客攻击的副本所取代。那些也是特洛伊木马，但来自人们故意下载和安装的软件。

随着BlockBlock和XFence(原小Flocker安装，即使你已经足够信任来进行的步骤来启动恶意软件)，它会一直无法写入文件或本身标记为启动在启动时。(这两个软件包都是免费的并且处于测试阶段。)

Mac 用户需要保持警惕，不要启动任何意外或来自未知方或声称是税务、执法或其他机构的文件。即使文件看起来来自已知来源，如果它不是预期的内容并且采用该人或组通常发送的格式，也可能是鱼叉式网络钓鱼尝试，其中使用伪造的返回地址诱使人们安装木马马。