Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Mac malware CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

Nga MezoMac malware, Dyer të pasme
Përkthe në:

Ekspertët e sigurisë kibernetike kanë zbuluar një familje të re programesh keqdashëse që synojnë ekosistemin macOS të Apple. Ai përshkruhet si një derë e pasme modulare e quajtur CHILLYHELL, e cila po ngre shqetësime serioze për shkak të fleksibilitetit dhe metodave të përparuara të qëndrueshmërisë.

Origjina dhe Atribuimi

CHILLYHELL është lidhur me një grumbull kërcënimesh të pakategorizuara të etiketuar UNC4487, që besohet të jetë aktiv që të paktën nga tetori 2022. Raportet e inteligjencës sugjerojnë se grupi ka të ngjarë të jetë një aktor spiunazhi. Operacionet e tij përfshijnë kompromentimin e faqeve të internetit të subjekteve qeveritare ukrainase dhe mashtrimin e vizitorëve që të ekzekutojnë malware-in Matanbuchus ose CHILLYHELL.

Sfondi Teknik

"Backdoor" është shkruar në C++ dhe është projektuar për t'u ekzekutuar në sisteme macOS të bazuara në Intel. Një mostër e zbuluar rishtazi nga CHILLYHELL, e datës 2 maj 2025, zbuloi se malware ishte noterizuar nga Apple në vitin 2021 dhe ishte vendosur publikisht në Dropbox që atëherë. Pas këtij zbulimi, Apple revokoi certifikatat e zhvilluesit që lidhen me të.

Mekanizmat e Infeksionit dhe Përhershmërisë

Pasi vendoset në sistemin e viktimës, CHILLYHELL kryen profilizim të gjerë të hostit dhe më pas krijon qëndrueshmëri duke përdorur tre metoda të dallueshme. Më pas, ai kontakton një server komande dhe kontrolli (C2) të koduar fort përmes HTTP ose DNS dhe hyn në një lak komandash për të marrë udhëzime.

Konfigurimi i qëndrueshmërisë përfshin strategji të shumta:

  • Instalimi i vetes si një LaunchAgent ose LaunchDaemon i sistemit
  • Modifikimi i profileve të shell-it si .zshrc, .bash_profile ose .profile për të futur një komandë nisjeje

Shmangia përmes Timestomping

Një teknikë veçanërisht e dukshme shmangieje është përdorimi i CHILLYHELL i timestomping, i cili ndryshon vulat kohore të skedarëve keqdashës për t'u përzier me objekte legjitime të sistemit. Nëse thirrjet direkte të sistemit nuk janë të mundura për shkak të privilegjeve të pamjaftueshme, programi keqdashës përdor si parazgjedhje komandat shell si:

  • touch -c -a -t (për modifikimin e kohës së aksesit)
  • prek -c -m -t (për rregullimin e kohës së modifikimit)

Të dy komandat përfshijnë një varg të vulës kohore me datë të prapaveprueshme për të shmangur dyshimet.

Aftësitë e Komandës

Dizajni modular i CHILLYHELL u ofron operatorëve një gamë të gjerë funksionesh. Ndër komandat e mbështetura janë:

  • Duke nisur një reverse shell në serverin C2
  • Shkarkimi i versioneve të përditësuara të malware-it
  • Marrja dhe ekzekutimi i ngarkesave shtesë
  • Ekzekutimi i modulit ModuleSUBF për të numëruar llogaritë e përdoruesve nga /etc/passwd
  • Kryerja e sulmeve me forcë brutale duke përdorur një listë fjalëkalimesh të ofruar nga serveri C2

Një kërcënim i sofistikuar për macOS

Me mekanizma të shumtë këmbëngulës, protokolle komunikimi të gjithanshme dhe një strukturë modulare, CHILLYHELL dallohet si një program keqdashës macOS jashtëzakonisht i sofistikuar. Karakteristika të tilla si thyerja e kohës dhe thyerja e fjalëkalimeve e dallojnë atë nga kërcënimet tipike që shihen në peizazhin e platformës.

Një detaj alarmues është se programi keqdashës ishte i noterizuar nga Apple, duke vërtetuar se jo të gjitha programet e noterizuara janë të sigurta. Kjo thekson nevojën që përdoruesit dhe organizatat të mbeten vigjilentë dhe të mos mbështeten vetëm në nënshkrimin e kodit ose noterizimin si tregues të besueshmërisë.

Në trend

Më e shikuara

Po ngarkohet...