Rabatttilbud for flere lisenser
Trusseldatabase Mac Malware CHILLYHELL MacOS-bakdør

CHILLYHELL MacOS-bakdør

Med Mezo i Mac Malware, Bakdører
Oversett til:

Nettsikkerhetseksperter har avdekket en ny familie av skadevareprogrammer som retter seg mot Apples macOS-økosystem. Den beskrives som en modulær bakdør kalt CHILLYHELL, som vekker alvorlig bekymring på grunn av dens fleksibilitet og avanserte vedvarende metoder.

Opprinnelse og attribusjon

CHILLYHELL har blitt knyttet til en ukategorisert trusselklynge merket UNC4487, som antas å ha vært aktiv siden minst oktober 2022. Etterretningsrapporter tyder på at gruppen sannsynligvis er en spionasjeaktør. Virksomheten inkluderer å kompromittere nettsteder til ukrainske myndigheter og lure besøkende til å kjøre enten Matanbuchus eller CHILLYHELL-skadevare.

Teknisk bakgrunn

Bakdøren er skrevet i C++ og designet for å kjøre på Intel-baserte macOS-systemer. Et nylig oppdaget CHILLYHELL-eksempel, datert 2. mai 2025, avslørte at skadevaren hadde blitt notarisert av Apple i 2021 og vært offentlig lagret på Dropbox siden den gang. Etter denne oppdagelsen tilbakekalte Apple de tilhørende utviklersertifikatene.

Infeksjons- og persistensmekanismer

Når CHILLYHELL er distribuert på et offers system, utfører den omfattende vertsprofilering og etablerer deretter persistens ved hjelp av tre forskjellige metoder. Deretter kontakter den en hardkodet kommando-og-kontroll-server (C2) via HTTP eller DNS og går inn i en kommandosløyfe for å motta instruksjoner.

Persistensoppsettet involverer flere strategier:

  • Installerer seg selv som en LaunchAgent eller system LaunchDaemon
  • Endre skallprofiler som .zshrc, .bash_profile eller .profile for å sette inn en oppstartskommando

Unnvikelse gjennom tidstesting

En spesielt bemerkelsesverdig unnvikelsesteknikk er CHILLYHELLs bruk av timestamping, som endrer tidsstemplene til skadelige filer slik at de blandes inn med legitime systemartefakter. Hvis direkte systemkall ikke er mulig på grunn av utilstrekkelige rettigheter, bruker skadevaren som standard skallkommandoer som:

  • berør -c -a -t (for endring av tilgangstid)
  • trykk på -c -m -t (for justering av modifikasjonstidspunkt)

Begge kommandoene inkluderer en tilbakedatert tidsstempelstreng for å unngå mistanke.

Kommandokapasiteter

CHILLYHELLs modulære design gir operatører et bredt spekter av funksjoner. Blant de støttede kommandoene er:

  • Lansering av et reverse shell til C2-serveren
  • Laster ned oppdaterte versjoner av skadelig programvare
  • Henting og utførelse av ytterligere nyttelaster
  • Kjører ModuleSUBF-modulen for å liste opp brukerkontoer fra /etc/passwd
  • Utføre brute-force-angrep ved hjelp av en passordliste levert av C2-serveren

En sofistikert macOS-trussel

Med flere persistensmekanismer, allsidige kommunikasjonsprotokoller og et modulært rammeverk, skiller CHILLYHELL seg ut som en uvanlig sofistikert macOS-skadevare. Funksjoner som timestomping og passordknekking skiller den fra typiske trusler man ser i plattformlandskapet.

En alarmerende detalj er at skadevaren ble notarisert av Apple, noe som beviser at ikke all notarisert programvare er trygg. Dette understreker behovet for at brukere og organisasjoner er årvåkne og ikke utelukkende stoler på kodesignering eller notarisering som indikatorer på pålitelighet.

Trender

Mest sett

Laster inn...