عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج ضارة لنظام Mac باب خلفي لنظام MacOS CHILLYHELL

باب خلفي لنظام MacOS CHILLYHELL

بواسطة Mezo في برامج ضارة لنظام Mac, الأبواب الخلفية
ترجمة الى:

اكتشف خبراء الأمن السيبراني سلالة جديدة من البرمجيات الخبيثة تستهدف نظام macOS من Apple. وُصفت هذه الدودة بأنها باب خلفي معياري يُطلق عليه اسم CHILLYHELL، وهو ما يثير مخاوف جدية نظرًا لمرونته وأساليبه المتقدمة للاستمرار.

الأصول والإسناد

تم ربط CHILLYHELL بمجموعة تهديدات غير مصنفة تحمل الرمز UNC4487، ويُعتقد أنها نشطة منذ أكتوبر 2022 على الأقل. تشير تقارير الاستخبارات إلى أن المجموعة على الأرجح جهة تجسس. تشمل عملياتها اختراق مواقع إلكترونية تابعة لهيئات حكومية أوكرانية وخداع الزوار لتنفيذ برمجية خبيثة من نوع Matanbuchus أو CHILLYHELL.

الخلفية التقنية

كُتب هذا البرنامج الخبيث بلغة C++، وصُمم للعمل على أنظمة macOS القائمة على معالجات Intel. وقد كشفت عينة CHILLYHELL المُكتشفة حديثًا، والمؤرخة في 2 مايو 2025، أن شركة Apple قد وثّقت هذا البرنامج الخبيث في عام 2021، وأنه مُستضاف علنًا على Dropbox منذ ذلك الحين. بعد هذا الاكتشاف، ألغت Apple شهادات المطورين المرتبطة به.

آليات العدوى والاستمرار

بمجرد نشره على نظام الضحية، يُجري CHILLYHELL تحليلًا شاملًا للمضيف، ثم يُرسخ استمراريته باستخدام ثلاث طرق مختلفة. بعد ذلك، يتصل بخادم قيادة وتحكم (C2) مُبرمج مسبقًا عبر HTTP أو DNS، ويدخل في حلقة أوامر لتلقي التعليمات.

يتضمن إعداد الاستمرارية استراتيجيات متعددة:

  • تثبيت نفسه كـ LaunchAgent أو LaunchDaemon للنظام
  • تعديل ملفات تعريف shell مثل .zshrc أو .bash_profile أو .profile لإدراج أمر التشغيل

التهرب من خلال الدوس على الوقت

من أبرز أساليب التهرب استخدام CHILLYHELL لتقنية الختم الزمني، التي تُغيّر الطوابع الزمنية للملفات الخبيثة لتتداخل مع آثار النظام الأصلية. إذا تعذّرت استدعاءات النظام المباشرة بسبب عدم كفاية الصلاحيات، فإن البرنامج الخبيث يعتمد افتراضيًا على أوامر shell مثل:

  • touch -c -a -t (لتعديل وقت الوصول)
  • touch -c -m -t (لضبط وقت التعديل)

يتضمن كلا الأمرين سلسلة زمنية مؤرخة لتجنب الشكوك.

قدرات القيادة

يوفر تصميم CHILLYHELL المعياري للمشغلين مجموعة واسعة من الوظائف. من بين الأوامر المدعومة:

  • إطلاق غلاف عكسي إلى خادم C2
  • تنزيل إصدارات البرامج الضارة المحدثة
  • استرداد وتنفيذ الحمولات الإضافية
  • تشغيل وحدة ModuleSUBF لإحصاء حسابات المستخدمين من /etc/passwd
  • تنفيذ هجمات القوة الغاشمة باستخدام قائمة كلمات المرور المقدمة من خادم C2

تهديد متطور لنظام macOS

بفضل آليات الثبات المتعددة، وبروتوكولات الاتصال متعددة الاستخدامات، وإطار العمل المعياري، يبرز CHILLYHELL كبرنامج خبيث متطور بشكل غير عادي على نظام macOS. ويتميز بميزات مثل الختم الزمني وكسر كلمات المرور، مما يجعله متميزًا عن التهديدات الشائعة في بيئة هذه المنصة.

من التفاصيل المثيرة للقلق أن البرنامج الخبيث مُوثّق من قِبل شركة آبل، مما يُثبت أن ليس كل البرامج المُوثّقة آمنة. وهذا يُبرز ضرورة يقظة المستخدمين والمؤسسات وعدم الاعتماد فقط على توقيع الكود أو التوثيق كمؤشرات على موثوقية البرنامج.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
35,407
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...