网络安全公司Jamf Threat Labs近日曝光了一款名为“ChillyHell”的Mac后门程序,该恶意软件自2021年起通过苹果官方公证机制成功伪装,并在系统中长期潜伏,直至2025年才被安全研究人员彻底揭露。这一发现揭示了苹果官方认证机制的潜在安全漏洞,以及恶意软件利用合法渠道渗透用户系统的隐蔽手段。
ChillyHell后门程序精心伪装成无害的小型应用程序,通过伪造合法开发者ID绕过系统检测机制,并在Dropbox云存储服务上公开传播,以此扩大感染范围。作为一款针对Intel架构Mac设计的模块化C++后门程序,ChillyHell具备多种危险功能:不仅可以建立反向Shell连接实现远程控制,还能自动更新自身代码、下载并执行新的恶意载荷,甚至尝试使用暴力破解方法获取本地用户账户权限。
该后门程序在通信传输和驻留方式上极具隐蔽性,采用多层加密技术避免被监控系统发现,同时支持多种驻留机制确保在系统重启后仍能保持活动状态。这些特性使其特别适合执行定向攻击,针对特定组织或高价值目标进行持久化渗透。值得注意的是,ChillyHell在感染过程中会创建多个系统级隐藏文件,即使苹果在2025年吊销了其伪造的开发者证书后,也难以自动清除已感染的设备,必须通过人工干预才能彻底移除。
此次ChillyHell事件再次提醒用户,即使是经过官方认证的应用程序也可能存在安全风险,建议在日常使用中保持高度警惕,定期进行安全扫描,并谨慎处理来自不可信来源的文件传输。对于企业用户而言,建立完善的多层次安全防护体系,及时更新系统补丁,并加强员工安全意识培训,是防范此类高级持续性威胁的关键措施。
