Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware para Mac CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

Por Mezo em Malware para Mac, Backdoors
Traduzir Para:

Especialistas em segurança cibernética descobriram uma nova família de malware que tem como alvo o ecossistema macOS da Apple. Ela é descrita como um backdoor modular chamado CHILLYHELL, que está levantando sérias preocupações devido à sua flexibilidade e métodos avançados de persistência.

Origens e Atribuição

O CHILLYHELL foi associado a um cluster de ameaças não categorizado, denominado UNC4487, que se acredita estar ativo desde pelo menos outubro de 2022. Relatórios de inteligência sugerem que o grupo provavelmente atua como espião. Suas operações incluem comprometer sites de entidades governamentais ucranianas e induzir visitantes a executar o malware Matanbuchus ou CHILLYHELL.

Histórico técnico

O backdoor foi escrito em C++ e projetado para rodar em sistemas macOS baseados em Intel. Uma amostra CHILLYHELL recém-descoberta, datada de 2 de maio de 2025, revelou que o malware havia sido autenticado pela Apple em 2021 e hospedado publicamente no Dropbox desde então. Após essa descoberta, a Apple revogou os certificados de desenvolvedor associados.

Mecanismos de infecção e persistência

Uma vez implantado no sistema da vítima, o CHILLYHELL realiza uma análise abrangente do perfil do host e, em seguida, estabelece persistência usando três métodos distintos. Em seguida, ele contata um servidor de comando e controle (C2) codificado via HTTP ou DNS e entra em um loop de comando para receber instruções.

A configuração de persistência envolve múltiplas estratégias:

  • Instalando-se como um LaunchAgent ou LaunchDaemon do sistema
  • Modificando perfis de shell como .zshrc, .bash_profile ou .profile para inserir um comando de inicialização

Evasão através do Timestomping

Uma técnica de evasão particularmente notável é o uso de timestomping pelo CHILLYHELL, que altera os carimbos de data/hora de arquivos maliciosos para se camuflarem com artefatos legítimos do sistema. Se chamadas diretas ao sistema não forem possíveis devido a privilégios insuficientes, o malware usa comandos de shell como:

  • touch -c -a -t (para modificação do tempo de acesso)
  • touch -c -m -t (para ajuste de tempo de modificação)

Ambos os comandos incluem uma sequência de carimbo de data/hora retroativo para evitar suspeitas.

Capacidades de comando

O design modular do CHILLYHELL oferece aos operadores uma ampla gama de funções. Entre os comandos suportados estão:

  • Iniciando um shell reverso para o servidor C2
  • Baixando versões atualizadas de malware
  • Recuperando e executando cargas úteis adicionais
  • Executando o módulo ModuleSUBF para enumerar contas de usuários de /etc/passwd
  • Executando ataques de força bruta usando uma lista de senhas fornecida pelo servidor C2

Uma ameaça sofisticada ao macOS

Com múltiplos mecanismos de persistência, protocolos de comunicação versáteis e uma estrutura modular, o CHILLYHELL se destaca como um malware excepcionalmente sofisticado para macOS. Recursos como marcação de tempo e quebra de senha o diferenciam das ameaças típicas observadas no cenário da plataforma.

Um detalhe alarmante é que o malware foi autenticado pela Apple, provando que nem todo software autenticado é seguro. Isso destaca a necessidade de usuários e organizações permanecerem vigilantes e não dependerem apenas de assinaturas de código ou autenticação em cartório como indicadores de confiabilidade.

Tendendo

Mais visto

Carregando...