Redazione RHC : 15 septiembre 2025 07:39
Investigadores han informado de un nuevo aumento en la actividad de ChillyHell, una puerta trasera modular para macOS que se creía inactiva durante años, pero que parece haber infectado ordenadores sin ser detectada durante años. Una muestra del malware se descubrió en mayo de 2025 en VirusTotal, aunque hay rastros de su actividad que se remontan al menos a 2021.
ChillyHell está escrito en C++ y se dirige a las arquitecturas Intel. Fue estudiado por primera vez por miembros del equipo de Mandiant en 2023, cuando vincularon la puerta trasera con el grupo UNC4487. El equipo hackeó un sitio web ucraniano de seguros de coche utilizado por empleados del gobierno para reservar viajes. A pesar de la publicación de Mandiant, la muestra en sí no fue marcada como maliciosa en ese momento, lo que le permitió seguir propagándose sin ser detectada por el software antivirus.
Lo más alarmante es que la copia descubierta estaba firmada por el desarrollador y fue certificada por Apple en 2021. Los investigadores de Jamf Threat Labs, Ferdous Saljuki y Maggie Zirnheltobservaron que la funcionalidad de la versión coincide casi por completo con la muestra descrita anteriormente. Al mismo tiempo, el archivo ha estado disponible gratuitamente en la carpeta pública de Dropbox durante cuatro años y podría infectar sistemas, aunque se mantenga en la categoría de confianza.
Se desconoce la extensión de ChillyHell. Según Jaron Bradley, director de Jamf Threat Labs, es imposible determinar cuántos sistemas se vieron afectados. Basándose en la arquitectura de la puerta trasera, los analistas tienden a creer que fue creada por un grupo de ciberdelincuentes y utilizada en ataques más selectivos, en lugar de masivos. Apple ya ha revocado los certificados de los desarrolladores asociados con ChillyHell.
La puerta trasera cuenta con tres mecanismos de persistencia en el sistema. Si el programa se inicia con privilegios de usuario, se registra como LaunchAgent; con privilegios elevados, se registra como LaunchDaemon. Además, se utiliza un método de respaldo: modificar los archivos de configuración del shell de usuario (.zshrc, .bash_profile o .profile), que incorporan el comando autorun, que activa ChillyHell con cada nueva sesión de terminal.
Para permanecer invisible, utiliza una táctica poco común en macOS llamada timestomping, en la que a los archivos maliciosos se les asignan marcas de tiempo que corresponden a objetos legítimos para evitar ser detectados. ChillyHell también alterna entre protocolos de comando y control, lo que dificulta considerablemente su detección.
La arquitectura modular permite a los atacantes ampliar la funcionalidad con flexibilidad tras la implementación. La puerta trasera puede descargar nuevas versiones de sí mismo, instalar componentes adicionales y realizar ataques de fuerza bruta. Guarda nombres de usuario locales para futuros intentos de hackeo e inicia el robo de credenciales. Esta combinación lo convierte en una plataforma conveniente para futuros ataques y una presencia a largo plazo en el sistema.
Los investigadores destacan que la combinación de mecanismos de persistencia, la variedad de protocolos de comunicación y el diseño modular hacen de ChillyHell una herramienta extremadamente flexible. También señalan que se ha sometido al proceso de autenticación de Apple, lo que demuestra que el malware no siempre está firmado digitalmente.
RedazioneSería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...
Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...
Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....
Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...
Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...
