Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mac-malware CHILLYHELL MacOS-achterdeur

CHILLYHELL MacOS-achterdeur

Tegen Mezo in Mac-malware, Achterdeurtjes
Vertalen naar:

Cybersecurity-experts hebben een nieuwe malwarefamilie ontdekt die zich richt op het macOS-ecosysteem van Apple. De malware wordt omschreven als een modulaire backdoor met de naam CHILLYHELL, die ernstige zorgen baart vanwege de flexibiliteit en geavanceerde persistentiemethoden.

Oorsprong en toeschrijving

CHILLYHELL is in verband gebracht met een niet-gecategoriseerd dreigingscluster met de naam UNC4487, waarvan wordt aangenomen dat het sinds ten minste oktober 2022 actief is. Inlichtingenrapporten suggereren dat de groep waarschijnlijk een spionage-actor is. Hun activiteiten omvatten het hacken van websites van Oekraïense overheidsinstanties en het misleiden van bezoekers om Matanbuchus- of CHILLYHELL-malware uit te voeren.

Technische achtergrond

De backdoor is geschreven in C++ en ontworpen om te draaien op Intel-gebaseerde macOS-systemen. Een recent ontdekt CHILLYHELL-exemplaar, gedateerd 2 mei 2025, onthulde dat de malware in 2021 door Apple was goedgekeurd en sindsdien openbaar beschikbaar was op Dropbox. Na deze ontdekking heeft Apple de bijbehorende ontwikkelaarscertificaten ingetrokken.

Infectie- en persistentiemechanismen

Eenmaal geïnstalleerd op het systeem van een slachtoffer, voert CHILLYHELL uitgebreide hostprofilering uit en stelt vervolgens persistentie in met behulp van drie verschillende methoden. Vervolgens maakt het contact met een hardgecodeerde command-and-control (C2)-server via HTTP of DNS en start een commandolus om instructies te ontvangen.

Het opzetten van persistentie omvat meerdere strategieën:

  • Zichzelf installeren als een LaunchAgent of systeem LaunchDaemon
  • Het wijzigen van shellprofielen zoals .zshrc, .bash_profile of .profile om een startopdracht in te voegen

Ontwijking door tijdstempeling

Een bijzonder opvallende ontwijkingstechniek is CHILLYHELL's gebruik van timestamping, waarbij de tijdstempels van kwaadaardige bestanden worden aangepast zodat ze opgaan in legitieme systeemartefacten. Als directe systeemaanroepen niet mogelijk zijn vanwege onvoldoende rechten, schakelt de malware standaard over op shell-opdrachten zoals:

  • touch -c -a -t (voor wijziging van de toegangstijd)
  • touch -c -m -t (voor aanpassing van de modificatietijd)

Beide opdrachten bevatten een gedateerde tijdstempelreeks om argwaan te voorkomen.

Commandocapaciteiten

Het modulaire ontwerp van CHILLYHELL biedt operators een breed scala aan functies. Ondersteunde commando's zijn onder andere:

  • Een omgekeerde shell starten op de C2-server
  • Bijgewerkte malwareversies downloaden
  • Extra payloads ophalen en uitvoeren
  • De ModuleSUBF-module uitvoeren om gebruikersaccounts te inventariseren vanuit /etc/passwd
  • Brute-force-aanvallen uitvoeren met behulp van een wachtwoordlijst die door de C2-server wordt geleverd

Een geavanceerde macOS-bedreiging

Met meerdere persistentiemechanismen, veelzijdige communicatieprotocollen en een modulair framework onderscheidt CHILLYHELL zich als een buitengewoon geavanceerde macOS-malware. Functies zoals timestomp en wachtwoordkraken onderscheiden het van de typische bedreigingen die op het platform voorkomen.

Een alarmerend detail is dat de malware door Apple is genotariseerd, wat bewijst dat niet alle genotariseerde software veilig is. Dit onderstreept de noodzaak voor gebruikers en organisaties om waakzaam te blijven en niet uitsluitend te vertrouwen op codeondertekening of notariële bekrachtiging als indicatoren van betrouwbaarheid.

Trending

Meest bekeken

Bezig met laden...