Malwarebytes安全研究人员最近发现的一种针对mac操作系统的恶意软件能够向加密的网络流量注入广告。

检测到的恶意软件由恶意安装程序提供，通过torrent文件下载到一个有漏洞的应用程序中，而安装程序是一个缺少常用的合法性伪装的磁盘图像文件。

恶意软件启动时，图像文件以隐形方式安装组件，然后请求用户授权更改证书信任设置，并允许名为spi的组件修改网络配置。与其他广告软件程序类似，spinstall应用程序安装了应用程序和启动代理，代理程序之一被用来执行spi应用程序。然而，它并不能维持应用程序的运行，用户可以强制它退出（尽管应用程序在下一次登录时再次打开）。另一个代理程序用以监视spi程序删除，并在发生这种情况时一旦spi被删除，恶意软件的其他组件也会被删除。

恶意软件中还安装了开源程序mitmproxy，用于拦截，检查，修改和重放Web流量。它滥用应用程序来针对中间人（MitM）攻击中的未加密和加密流量。有了修改证书信任设置的能力，再加上有系统信任的mitmproxy证书，恶意软件就能访问HTTPS通信（该通信常在浏览器和网站之间加密，从而避免窥探）。

威胁分子将从恶意网站加载的JavaScript注入受害者访问的每个网页。如果spi.app被删除，卸载代理就会运行脚本以禁用最初设置的广告软件的代理，从程序的首选项中提取信息并将其发送到Web服务器，再删除首选项和启动代理。该脚本还会导致出现4次身份验证请求。此外，卸载程序还会留下mitmproxy软件以及应用程序用于访问加密Web流量的证书。

结论：广告软件目前似乎无害，因为它只注入一个脚本来展示广告，但鉴于该脚本实际上是从外部服务器加载的，内容随时可以更改成网络钓鱼页面或恶意软件，它仍有一定威胁性。注入的脚本可以用来做任何事情，从挖掘加密货币到捕获浏览数据到键盘记录等。更糟糕的是，恶意软件本身可以通过MitM攻击无形地捕获数据，而无需依赖JavaScript或修改网页内容，即使恶意软件卸载自己，潜在的危险也没有完全消失，因为它留下了用来执行MitM攻击的工具，这意味着另一个恶意软件可以利用这些工具达到他们自己的非法目的。