Rabattoffert för flera licenser
Hotdatabas Mac Malware CHILLYHELL MacOS-bakdörr

CHILLYHELL MacOS-bakdörr

Med Mezo år Mac Malware, Bakdörrar
Översätt till:

Cybersäkerhetsexperter har upptäckt en ny familj av skadlig kod som riktar sig mot Apples macOS-ekosystem. Den beskrivs som en modulär bakdörr kallad CHILLYHELL, vilket väcker allvarliga farhågor på grund av dess flexibilitet och avancerade persistensmetodesmetoder.

Ursprung och tillskrivning

CHILLYHELL har kopplats till ett okategoriserat hotkluster märkt UNC4487, som tros ha varit aktivt sedan åtminstone oktober 2022. Underrättelserapporter tyder på att gruppen sannolikt är en spionaktör. Dess verksamhet inkluderar att kompromettera webbplatser för ukrainska myndigheter och lura besökare att köra antingen Matanbuchus eller CHILLYHELL-skadlig programvara.

Teknisk bakgrund

Bakdörren är skriven i C++ och utformad för att köras på Intel-baserade macOS-system. Ett nyligen upptäckt CHILLYHELL-exempel, daterat den 2 maj 2025, avslöjade att skadlig programvara hade notariserats av Apple 2021 och sedan dess visats offentligt på Dropbox. Efter denna upptäckt återkallade Apple de tillhörande utvecklarcertifikaten.

Infektions- och persistensmekanismer

När CHILLYHELL väl har distribuerats på ett offers system utför den omfattande värdprofilering och etablerar sedan persistens med hjälp av tre olika metoder. Därefter kontaktar den en hårdkodad kommando- och kontrollserver (C2) via HTTP eller DNS och går in i en kommandoslinga för att ta emot instruktioner.

Persistensuppsättningen involverar flera strategier:

  • Installerar sig själv som en LaunchAgent eller system LaunchDaemon
  • Ändra skalprofiler som .zshrc, .bash_profile eller .profile för att infoga ett startkommando

Undvikande genom tidspåverkan

En särskilt anmärkningsvärd undanflyktsteknik är CHILLYHELLs användning av timestamping, vilket ändrar tidsstämplarna för skadliga filer så att de smälter in med legitima systemartefakter. Om direkta systemanrop inte är möjliga på grund av otillräckliga behörigheter, använder den skadliga programvaran som standard shell-kommandon som:

  • touch -c -a -t (för att ändra åtkomsttid)
  • tryck på -c -m -t (för justering av modifieringstiden)

Båda kommandona innehåller en retroaktiv tidsstämpelsträng för att undvika misstankar.

Kommandofunktioner

CHILLYHELLs modulära design ger operatörerna ett brett utbud av funktioner. Bland de kommandon som stöds finns:

  • Starta ett omvänt skal till C2-servern
  • Ladda ner uppdaterade versioner av skadlig kod
  • Hämta och köra ytterligare nyttolaster
  • Köra ModuleSUBF-modulen för att räkna upp användarkonton från /etc/passwd
  • Utföra brute-force-attacker med hjälp av en lösenordslista som tillhandahålls av C2-servern

Ett sofistikerat macOS-hot

Med flera persistensmekanismer, mångsidiga kommunikationsprotokoll och ett modulärt ramverk sticker CHILLYHELL ut som en ovanligt sofistikerad macOS-skadlig kod. Funktioner som tidsstampning och lösenordsknäckning skiljer den från typiska hot som ses i plattformens landskap.

En alarmerande detalj är att den skadliga programvaran notariserades av Apple, vilket bevisar att inte all notariserad programvara är säker. Detta belyser vikten av att användare och organisationer förblir vaksamma och inte enbart förlitar sig på kodsignering eller notarisering som indikatorer på pålitlighet.

Trendigt

Mest sedda

Läser in...