又一个特洛伊木马！可以在Mac上安装后门

上周 CheckPoint 安全研究人员在 macOS 系统，发现一款恶意软件 OSX.Dok，采用钓鱼攻击方式，中招的用户会收到伪装来自国外税务局的邮件，要求在附件中填入自己的详细信息，而当你完成这些操作，此时 OSX.Dok 已经默默加入电脑的启动项，且每次都是自动运行。当用户每次访问互联网，使用 https 连接访问安全服务器等，都会被监控。

而最近 Malwarebytes 研究员 Adam Thomas 又发现了一款新的 Mac 恶意软件 OSX.Bella。这款恶意软件的传播方式与 OSX.Dok 完全不同，但用户一旦安装这款恶意软件，它对用户造成的危害却一点都不会比 OSX.Dok 的弱。

OSX.Bella 的安装方式和 OSX.Dok 是一样的，设备被感染之后，该恶意软件就会安装开源后门 Bella。它还会复制 /Users/Shared/AppStore.app，提醒用户应用已经损坏。该恶意软件不会显示全屏应用更新，强制用户输入密码，否则用户 Mac 不可用，但是它会关闭应用，大约一分钟之后会把应用删除掉。

对于企业用户来说，OSX.Bella 的威胁可能会比较大，它能够泄露企业的大量敏感数据，包括密码、代码签名证书和硬件位置。

好在目前 OSX.Bella 泄露代码签名证书的功能已经被禁用，所以用户可以不用担心。另外 Malwarebytes 建议用户更换自己的密码，因为用户设备很有可能在此之前就已经被感染了。