Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware pentru Mac CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

Până în Mezo în Malware pentru Mac, Ușile din spate
Tradu in:

Experții în securitate cibernetică au descoperit o nouă familie de programe malware care vizează ecosistemul macOS al Apple. Aceasta este descrisă ca un backdoor modular, denumit CHILLYHELL, care ridică îngrijorări serioase datorită flexibilității și metodelor avansate de persistență.

Origini și atribuire

CHILLYHELL a fost asociat cu un grup de amenințări necategorizat, etichetat UNC4487, despre care se crede că este activ cel puțin din octombrie 2022. Rapoartele serviciilor de informații sugerează că grupul este probabil un actor de spionaj. Operațiunile sale includ compromiterea site-urilor web ale entităților guvernamentale ucrainene și păcălirea vizitatorilor pentru a executa programe malware precum Matanbuchus sau CHILLYHELL.

Context tehnic

Backdoor-ul este scris în C++ și conceput să ruleze pe sisteme macOS bazate pe Intel. Un eșantion CHILLYHELL recent descoperit, datat 2 mai 2025, a dezvăluit că malware-ul fusese notarizat de Apple în 2021 și găzduit public pe Dropbox de atunci. În urma acestei descoperiri, Apple a revocat certificatele de dezvoltator asociate.

Mecanisme de infecție și persistență

Odată implementat pe sistemul unei victime, CHILLYHELL efectuează o profilare extinsă a gazdei și apoi stabilește persistența folosind trei metode distincte. Ulterior, contactează un server de comandă și control (C2) codificat prin HTTP sau DNS și intră într-o buclă de comenzi pentru a primi instrucțiuni.

Configurarea persistenței implică mai multe strategii:

  • Instalarea proprie ca LaunchAgent sau LaunchDaemon de sistem
  • Modificarea profilurilor shell, cum ar fi .zshrc, .bash_profile sau .profile, pentru a insera o comandă de lansare

Evadare prin Timestomping

O tehnică de evitare deosebit de notabilă este utilizarea de către CHILLYHELL a timestomping-ului, care modifică timestamp-urile fișierelor malițioase pentru a se amesteca cu artefactele legitime ale sistemului. Dacă apelurile de sistem directe nu sunt posibile din cauza privilegiilor insuficiente, malware-ul folosește implicit comenzi shell, cum ar fi:

  • touch -c -a -t (pentru modificarea timpului de acces)
  • touch -c -m -t (pentru ajustarea timpului de modificare)

Ambele comenzi includ un șir de marcaj temporal retroactiv pentru a evita suspiciunile.

Capacități de comandă

Designul modular al CHILLYHELL oferă operatorilor o gamă largă de funcții. Printre comenzile acceptate se numără:

  • Lansarea unui shell invers pe serverul C2
  • Descărcarea versiunilor actualizate de programe malware
  • Recuperarea și executarea sarcinilor utile suplimentare
  • Rularea modulului ModuleSUBF pentru a enumera conturile de utilizator din /etc/passwd
  • Efectuarea de atacuri brute-force folosind o listă de parole furnizată de serverul C2

O amenințare sofisticată la adresa macOS

Cu multiple mecanisme de persistență, protocoale de comunicare versatile și un framework modular, CHILLYHELL se remarcă ca un malware macOS neobișnuit de sofisticat. Caracteristici precum timestomping și spargerea parolelor îl diferențiază de amenințările tipice întâlnite în peisajul platformei.

Un detaliu alarmant este faptul că malware-ul a fost certificat notarial de Apple, ceea ce dovedește că nu toate programele software certificate notarial sunt sigure. Acest lucru subliniază necesitatea ca utilizatorii și organizațiile să rămână vigilente și să nu se bazeze exclusiv pe semnarea codului sau pe notarizare ca indicatori ai credibilității.

Trending

Cele mai văzute

Se încarcă...