Backdoor di CHILLYHELL MacOS
Gli esperti di sicurezza informatica hanno scoperto una nuova famiglia di malware che prende di mira l'ecosistema macOS di Apple. Si tratta di una backdoor modulare denominata CHILLYHELL, che sta sollevando serie preoccupazioni per la sua flessibilità e i suoi avanzati metodi di persistenza.
Sommario
Origini e attribuzione
CHILLYHELL è stato collegato a un cluster di minacce non categorizzato denominato UNC4487, che si ritiene sia attivo almeno dall'ottobre 2022. Rapporti di intelligence suggeriscono che il gruppo sia probabilmente un'organizzazione di spionaggio. Le sue operazioni includono la compromissione di siti web di enti governativi ucraini e l'inganno dei visitatori per indurli a eseguire il malware Matanbuchus o CHILLYHELL.
Contesto tecnico
La backdoor è scritta in C++ e progettata per funzionare su sistemi macOS basati su Intel. Un campione di CHILLYHELL scoperto di recente, datato 2 maggio 2025, ha rivelato che il malware era stato autenticato da Apple nel 2021 e da allora ospitato pubblicamente su Dropbox. In seguito a questa scoperta, Apple ha revocato i certificati di sviluppo associati.
Meccanismi di infezione e persistenza
Una volta implementato sul sistema della vittima, CHILLYHELL esegue un'ampia profilazione dell'host e stabilisce la persistenza utilizzando tre metodi distinti. Successivamente, contatta un server di comando e controllo (C2) hard-coded tramite HTTP o DNS ed entra in un ciclo di comandi per ricevere istruzioni.
L'impostazione della persistenza prevede molteplici strategie:
- Installazione come LaunchAgent o LaunchDaemon di sistema
- Modifica dei profili shell come .zshrc, .bash_profile o .profile per inserire un comando di avvio
Evasione attraverso il calpestamento del tempo
Una tecnica di evasione particolarmente degna di nota è l'uso del timestomping da parte di CHILLYHELL, che altera i timestamp dei file dannosi per confonderli con gli artefatti di sistema legittimi. Se le chiamate di sistema dirette non sono possibili a causa di privilegi insufficienti, il malware utilizza per impostazione predefinita comandi shell come:
- touch -c -a -t (per la modifica dell'orario di accesso)
- touch -c -m -t (per la regolazione dell'ora di modifica)
Entrambi i comandi includono una stringa di timestamp retrodatata per evitare sospetti.
Capacità di comando
Il design modulare di CHILLYHELL offre agli operatori un'ampia gamma di funzioni. Tra i comandi supportati figurano:
- Avvio di una shell inversa sul server C2
- Scaricamento delle versioni aggiornate del malware
- Recupero ed esecuzione di payload aggiuntivi
- Esecuzione del modulo ModuleSUBF per enumerare gli account utente da /etc/passwd
- Esecuzione di attacchi brute-force utilizzando un elenco di password fornito dal server C2
Una minaccia sofisticata per macOS
Grazie a molteplici meccanismi di persistenza, protocolli di comunicazione versatili e un framework modulare, CHILLYHELL si distingue come un malware per macOS insolitamente sofisticato. Funzionalità come il timesomping e il password cracking lo distinguono dalle tipiche minacce presenti nel panorama della piattaforma.
Un dettaglio allarmante è che il malware è stato autenticato da Apple, a dimostrazione del fatto che non tutto il software autenticato è sicuro. Ciò evidenzia la necessità che utenti e organizzazioni rimangano vigili e non facciano affidamento esclusivamente sulla firma del codice o sulla notarizzazione come indicatori di affidabilità.
