Redazione RHC : 15 septiembre 2025 07:39
Investigadores han informado de un nuevo aumento en la actividad de ChillyHell, una puerta trasera modular para macOS que se creía inactiva durante años, pero que parece haber infectado ordenadores sin ser detectada durante años. Una muestra del malware se descubrió en mayo de 2025 en VirusTotal, aunque hay rastros de su actividad que se remontan al menos a 2021.
ChillyHell está escrito en C++ y se dirige a las arquitecturas Intel. Fue estudiado por primera vez por miembros del equipo de Mandiant en 2023, cuando vincularon la puerta trasera con el grupo UNC4487. El equipo hackeó un sitio web ucraniano de seguros de coche utilizado por empleados del gobierno para reservar viajes. A pesar de la publicación de Mandiant, la muestra en sí no fue marcada como maliciosa en ese momento, lo que le permitió seguir propagándose sin ser detectada por el software antivirus.
Lo más alarmante es que la copia descubierta estaba firmada por el desarrollador y fue certificada por Apple en 2021. Los investigadores de Jamf Threat Labs, Ferdous Saljuki y Maggie Zirnheltobservaron que la funcionalidad de la versión coincide casi por completo con la muestra descrita anteriormente. Al mismo tiempo, el archivo ha estado disponible gratuitamente en la carpeta pública de Dropbox durante cuatro años y podría infectar sistemas, aunque se mantenga en la categoría de confianza.
Dai potere alla tua programmazione con TypeScript funzionaleImpara a scrivere codice modulare, sicuro e scalabile con il nostro corso pratico di Programmazione Funzionale in TypeScript, guidato dall’esperto Pietro Grandi, professionista nello sviluppo del software. In 6 ore e 29 lezioni, esplorerai concetti fondamentali come immutabilità, funzioni pure, higher-order functions e monadi, applicandoli direttamente al mondo reale dello sviluppo software. Il corso è pensato per sviluppatori, team leader e professionisti del software che desiderano migliorare la qualità e la manutenibilità del loro codice. Con esempi pratici, esercizi e la guida esperta di Grandi, acquisirai competenze avanzate per affrontare le sfide moderne dello sviluppo. Approfitta della promo e scrivi subito all'amministrazione e guarda l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] 
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Se desconoce la extensión de ChillyHell. Según Jaron Bradley, director de Jamf Threat Labs, es imposible determinar cuántos sistemas se vieron afectados. Basándose en la arquitectura de la puerta trasera, los analistas tienden a creer que fue creada por un grupo de ciberdelincuentes y utilizada en ataques más selectivos, en lugar de masivos. Apple ya ha revocado los certificados de los desarrolladores asociados con ChillyHell.
La puerta trasera cuenta con tres mecanismos de persistencia en el sistema. Si el programa se inicia con privilegios de usuario, se registra como LaunchAgent; con privilegios elevados, se registra como LaunchDaemon. Además, se utiliza un método de respaldo: modificar los archivos de configuración del shell de usuario (.zshrc, .bash_profile o .profile), que incorporan el comando autorun, que activa ChillyHell con cada nueva sesión de terminal.
Para permanecer invisible, utiliza una táctica poco común en macOS llamada timestomping, en la que a los archivos maliciosos se les asignan marcas de tiempo que corresponden a objetos legítimos para evitar ser detectados. ChillyHell también alterna entre protocolos de comando y control, lo que dificulta considerablemente su detección.
La arquitectura modular permite a los atacantes ampliar la funcionalidad con flexibilidad tras la implementación. La puerta trasera puede descargar nuevas versiones de sí mismo, instalar componentes adicionales y realizar ataques de fuerza bruta. Guarda nombres de usuario locales para futuros intentos de hackeo e inicia el robo de credenciales. Esta combinación lo convierte en una plataforma conveniente para futuros ataques y una presencia a largo plazo en el sistema.
Los investigadores destacan que la combinación de mecanismos de persistencia, la variedad de protocolos de comunicación y el diseño modular hacen de ChillyHell una herramienta extremadamente flexible. También señalan que se ha sometido al proceso de autenticación de Apple, lo que demuestra que el malware no siempre está firmado digitalmente.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
