根據資安公司 Jamf Threat Labs 公布的研究報告,一款名為 ChillyHell 的 macOS 惡意後門程式,近日被發現已悄悄潛伏在系統中長達 4 年。這款針對 Intel 架構 Mac 所設計的後門,自 2021 年獲得蘋果官方的 公證(Notarization) 後,便未曾被偵測出異常,直到今年才曝光。
利用合法開發者憑證,躲過 Gatekeeper 安全防線
蘋果的公證機制是 macOS 上的防護措施之一,開發者需先提交程式,經蘋果掃描過後確認無惡意行為,才可正常執行,避免被 Gatekeeper 攔截。但 ChillyHell 利用合法的開發者簽章成功通過檢查,並透過 Dropbox 平台公開散布,完全未觸發任何安全警示。
直到 Jamf 團隊在 VirusTotal 上分析樣本時,才意外發現這起事件。雖然蘋果事後已撤銷相關憑證,阻止新安裝,但已遭感染的裝置仍需手動清除。
模組化結構、具暴力破解模組,手法罕見
技術分析指出,ChillyHell 是用 C++ 撰寫的模組化後門,主要針對 Intel Mac,並偽裝成無實質功能的小程式。一旦執行,會蒐集系統資訊、建立持久化機制並連接控制伺服器。
ChillyHell 的模組包含:
-
ModuleBackconnectShell:建立反向 Shell,畫面顯示「Welcome to Paradise」。 -
ModuleUpdater:執行程式更新。 -
ModuleLoader:下載並執行新的惡意載荷。 -
ModuleSUBF:嘗試以字典攻擊方式破解本地帳號密碼,疑似針對 Kerberos 認證機制。
這種結合 模組化設計 與 帳號暴力破解能力 的後門,在 macOS 惡意程式中相當罕見。
利用老方法確保潛伏、不易被發現
為了強化存活能力,即使建立自啟動項目(如 LaunchAgent、LaunchDaemon)失敗,ChillyHell 也會修改 .zshrc 檔案,確保下次開機仍能自動啟動。它還會修改檔案時間戳來掩蓋蹤跡,並在背景悄悄開啟 Google 首頁做掩護。
其與 C&C(指令控制)伺服器的溝通則使用硬編碼 IP,搭配 DNS 與 HTTP 協議,並以每 60~120 秒隨機間隔執行任務,增加隱蔽性與靈活度。
Jamf 指出,這類已通過蘋果公證的後門,極可能用於精準的目標型攻擊。
- 延伸閱讀:Ollama 推出桌機版應用程式:離線跑 AI 更簡單,Windows、macOS 用戶直接圖形介面操作 LLM
- 延伸閱讀:3DMark更新Solar Bay Extreme測試,支援Windows、macOS、Android、iOS跨平台測試
- 延伸閱讀:macOS 26 全新「Liquid Glass」介面亮相卻似曾相識,是在致敬20年前的Windows Vista?
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!