הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנות זדוניות של Mac דלת אחורית של CHILLYHELL עבור MacOS

דלת אחורית של CHILLYHELL עבור MacOS

עד Mezo ב-תוכנות זדוניות של Mac, דלתות אחוריות
לתרגם ל:

מומחי אבטחת סייבר חשפו משפחת תוכנות זדוניות חדשה המכוונת למערכת האקולוגית של macOS של אפל. היא מתוארת כדלת אחורית מודולרית בשם CHILLYHELL, דבר שמעורר חששות רציניים בשל גמישותה ושיטות ההתמדה המתקדמות שלה.

מקורות וייחוס

CHILLYHELL נקשר לאשכול איומים לא מסווג שכותרתו UNC4487, אשר נחשב פעיל לפחות מאז אוקטובר 2022. דיווחי מודיעין מצביעים על כך שהקבוצה היא ככל הנראה שחקן ריגול. פעילותה כוללת חדירה לאתרי אינטרנט של גופים ממשלתיים אוקראינים והונאת מבקרים להפעיל תוכנות זדוניות מסוג Matanbuchus או CHILLYHELL.

רקע טכני

הדלת האחורית כתובה ב-C++ ומתוכננת לפעול על מערכות macOS מבוססות אינטל. דוגמה חדשה של CHILLYHELL שהתגלתה, מיום 2 במאי 2025, חשפה כי הנוזקה אושרה על ידי אפל בשנת 2021 ומאז היא מאוחסנת בפומבי ב-Dropbox. בעקבות גילוי זה, אפל ביטלה את אישורי המפתחים הנלווים.

מנגנוני זיהום והתמדה

לאחר פריסתה במערכת של הקורבן, CHILLYHELL מבצע פרופיל מארח נרחב ולאחר מכן קובע נוכחות באמצעות שלוש שיטות שונות. לאחר מכן, הוא יוצר קשר עם שרת פקודה ובקרה (C2) מקודד באמצעות HTTP או DNS ונכנס ללולאת פקודה כדי לקבל הוראות.

מערך ההתמדה כולל מספר אסטרטגיות:

  • מתקין את עצמו כ-LaunchAgent או LaunchDaemon של המערכת
  • שינוי פרופילי מעטפת כגון .zshrc, .bash_profile או .profile כדי להכניס פקודת הפעלה

התחמקות באמצעות מעקב אחר זמן

טכניקת התחמקות בולטת במיוחד היא השימוש של CHILLYHELL ב-timestamping, אשר משנה את חותמות הזמן של קבצים זדוניים כדי להשתלב עם אובייקטים לגיטימיים של המערכת. אם קריאות ישירות של המערכת אינן אפשריות עקב הרשאות לא מספקות, התוכנה הזדונית עוברת כברירת מחדל לפקודות מעטפת כגון:

  • מגע -c -a -t (לשינוי זמן גישה)
  • מגע -c -m -t (להתאמת זמן שינוי)

שתי הפקודות כוללות מחרוזת חותמת זמן עם תאריך אחרון כדי למנוע חשד.

יכולות פיקוד

העיצוב המודולרי של CHILLYHELL מספק למפעילים מגוון רחב של פונקציות. בין הפקודות הנתמכות:

  • הפעלת מעטפת הפוכה לשרת C2
  • הורדת גרסאות מעודכנות של תוכנות זדוניות
  • אחזור וביצוע של מטענים נוספים
  • הפעלת מודול ModuleSUBF כדי למנות חשבונות משתמשים מ-/etc/passwd
  • ביצוע מתקפות Brute-Force באמצעות רשימת סיסמאות המסופקת על ידי שרת C2

איום מתוחכם של macOS

עם מנגנוני שמירה מרובים, פרוטוקולי תקשורת מגוונים ומסגרת מודולרית, CHILLYHELL בולטת כנוזקה מתוחכמת במיוחד של macOS. תכונות כמו עצירת זמן ופיצוח סיסמאות מבדילות אותה מאיומים אופייניים הנראים בנוף הפלטפורמה.

פרט מדאיג אחד הוא שהתוכנה הזדונית אושרה על ידי אפל, מה שמוכיח שלא כל התוכנה המאושרת על ידי נוטריון בטוחה. עובדה זו מדגישה את הצורך של משתמשים וארגונים להישאר ערניים ולא להסתמך אך ורק על חתימת קוד או אישור נוטריוני כאינדיקטורים לאמינות.

מגמות

Miaw Qoaks מאת Suproa Tm Asjs

תוכניות שעלולות להיות לא רצויות, תוכנות פרסום, חוטפי דפדפן
הגנה על המכשיר שלך מפני יישומים פולשניים חיונית להבטחת אבטחה וביצועים כאחד. מבין התוכניות הפוטנציאליות הלא רצויות (PUP) הרבות שנותחו על ידי מומחי אבטחת סייבר, דוגמה מדאיגה במיוחד היא Miaiw Qoaks...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,407
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...