Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós per a Mac Porta del darrere de macOS CHILLYHELL

Porta del darrere de macOS CHILLYHELL

El Mezo el Programari maliciós per a Mac, Portes del darrere
Traduir a:

Experts en ciberseguretat han descobert una nova família de programari maliciós dirigida a l'ecosistema macOS d'Apple. Es descriu com una porta del darrere modular anomenada CHILLYHELL, que està generant greus preocupacions per la seva flexibilitat i mètodes de persistència avançats.

Orígens i atribució

CHILLYHELL ha estat vinculat a un clúster d'amenaces no categoritzat anomenat UNC4487, que es creu que està actiu des d'almenys l'octubre del 2022. Els informes d'intel·ligència suggereixen que el grup probablement és un actor d'espionatge. Les seves operacions inclouen comprometre llocs web d'entitats governamentals ucraïneses i enganyar els visitants perquè executin programari maliciós Matanbuchus o CHILLYHELL.

Antecedents tècnics

La porta del darrere està escrita en C++ i dissenyada per executar-se en sistemes macOS basats en Intel. Una mostra CHILLYHELL recentment descoberta, amb data del 2 de maig de 2025, va revelar que el programari maliciós havia estat notaritzat per Apple el 2021 i allotjat públicament a Dropbox des de llavors. Després d'aquest descobriment, Apple va revocar els certificats de desenvolupador associats.

Mecanismes d’infecció i persistència

Un cop desplegat al sistema d'una víctima, CHILLYHELL realitza una exhaustiva generació de perfils d'amfitrió i després estableix la persistència mitjançant tres mètodes diferents. Posteriorment, contacta amb un servidor de comandaments i control (C2) codificat de manera fixa a través d'HTTP o DNS i entra en un bucle de comandaments per rebre instruccions.

La configuració de la persistència implica diverses estratègies:

  • Instal·lant-se com a LaunchAgent o LaunchDaemon del sistema
  • Modificació de perfils de shell com ara .zshrc, .bash_profile o .profile per inserir una ordre d'inici

Evasió a través del Timestomping

Una tècnica d'evasió particularment notable és l'ús del timestomping de CHILLYHELL, que altera les marques de temps dels fitxers maliciosos per barrejar-los amb artefactes legítims del sistema. Si les crides directes al sistema no són possibles a causa de privilegis insuficients, el programari maliciós utilitza per defecte ordres de shell com ara:

  • touch -c -a -t (per a la modificació del temps d'accés)
  • touch -c -m -t (per ajustar el temps de modificació)

Ambdues ordres inclouen una cadena de marca de temps retroactiva per evitar sospites.

Capacitats de comandament

El disseny modular de CHILLYHELL proporciona als operadors una àmplia gamma de funcions. Entre les ordres compatibles hi ha:

  • Llançament d'una shell inversa al servidor C2
  • Descàrrega de versions actualitzades de programari maliciós
  • Recuperació i execució de càrregues útils addicionals
  • Executar el mòdul ModuleSUBF per enumerar els comptes d'usuari des de /etc/passwd
  • Realització d'atacs de força bruta utilitzant una llista de contrasenyes proporcionada pel servidor C2

Una amenaça sofisticada per a macOS

Amb múltiples mecanismes de persistència, protocols de comunicació versàtils i un marc modular, CHILLYHELL destaca com un programari maliciós per a macOS inusualment sofisticat. Funcions com ara el timestomping i el craqueig de contrasenyes el distingeixen de les amenaces típiques que es veuen en el panorama de la plataforma.

Un detall alarmant és que el programari maliciós estava notaritzat per Apple, cosa que demostra que no tot el programari notaritzat és segur. Això posa de manifest la necessitat que els usuaris i les organitzacions es mantinguin alerta i no confiïn únicament en la signatura de codi o la notarització com a indicadors de fiabilitat.

Tendència

Més vist

Carregant...