Slevová nabídka pro více licencí
Databáze hrozeb Mac malware CHILLYHELL Backdoor pro MacOS

CHILLYHELL Backdoor pro MacOS

V roce Mezo v roce Mac malware, Zadní vrátka
Přeložit do:

Odborníci na kybernetickou bezpečnost odhalili novou rodinu malwaru cílenou na ekosystém macOS od společnosti Apple. Je popisována jako modulární backdoor s názvem CHILLYHELL, který vyvolává vážné obavy kvůli své flexibilitě a pokročilým metodám perzistence.

Původ a atribuce

Skupina CHILLYHELL byla spojována s nekategorizovaným klastrem hrozeb s označením UNC4487, o kterém se předpokládá, že je aktivní nejméně od října 2022. Zprávy zpravodajských služeb naznačují, že se pravděpodobně jedná o špionážní aktéra. Mezi její operace patří napadení webových stránek ukrajinských vládních subjektů a klamání návštěvníků ke spuštění malwaru Matanbuchus nebo CHILLYHELL.

Technické pozadí

Backdoor je napsán v jazyce C++ a je navržen pro běh na systémech macOS s procesorem Intel. Nově objevený vzorek CHILLYHELL z 2. května 2025 odhalil, že malware byl v roce 2021 ověřen společností Apple a od té doby veřejně hostován na Dropboxu. Po tomto objevu společnost Apple zrušila související certifikáty vývojářů.

Mechanismy infekce a perzistence

Jakmile je CHILLYHELL nasazen na systém oběti, provede rozsáhlé profilování hostitele a poté pomocí tří různých metod zajistí perzistenci. Poté kontaktuje pevně zakódovaný server příkazů a řízení (C2) přes HTTP nebo DNS a vstoupí do příkazové smyčky pro příjem instrukcí.

Nastavení perzistence zahrnuje několik strategií:

  • Instaluje se jako LaunchAgent nebo systémový LaunchDaemon
  • Úprava profilů shellu, jako například .zshrc, .bash_profile nebo .profile, pro vložení spouštěcího příkazu

Únik skrze Timestomping

Obzvláště pozoruhodnou technikou obcházení je použití časových razítek virem CHILLYHELL, které mění časová razítka škodlivých souborů tak, aby splynula s legitimními systémovými artefakty. Pokud nejsou přímá systémová volání možná kvůli nedostatečným oprávněním, malware standardně používá příkazy shellu, jako například:

  • touch -c -a -t (pro úpravu doby přístupu)
  • touch -c -m -t (pro úpravu času modifikace)

Oba příkazy obsahují řetězec s časovým razítkem s datem zpětného datování, aby se předešlo podezření.

Velitelské schopnosti

Modulární konstrukce CHILLYHELL poskytuje operátorům širokou škálu funkcí. Mezi podporované příkazy patří:

  • Spuštění reverzního shellu na server C2
  • Stahování aktualizovaných verzí malwaru
  • Načítání a provádění dalších datových částí
  • Spuštění modulu ModuleSUBF pro výčet uživatelských účtů ze souboru /etc/passwd
  • Provádění útoků hrubou silou s použitím seznamu hesel poskytnutého serverem C2

Sofistikovaná hrozba pro macOS

Díky více mechanismům perzistence, všestranným komunikačním protokolům a modulárnímu frameworku vyniká CHILLYHELL jako neobvykle sofistikovaný malware pro macOS. Funkce, jako je timestomping a prolomení hesla, ho odlišují od typických hrozeb, které se v prostředí platformy vyskytují.

Jedním alarmujícím detailem je, že malware byl ověřen společností Apple, což dokazuje, že ne veškerý ověřený software je bezpečný. To zdůrazňuje potřebu, aby uživatelé a organizace zůstali ostražití a nespoléhali se pouze na podepisování kódu nebo ověřování jako ukazatel důvěryhodnosti.

Trendy

Nejvíce shlédnuto

Načítání...