La puerta trasera ChillyHell regresa para amenazar los sistemas macOS.

Redazione RHC : 15 septiembre 2025 07:39

Investigadores han informado de un nuevo aumento en la actividad de ChillyHell, una puerta trasera modular para macOS que se creía inactiva durante años, pero que parece haber infectado ordenadores sin ser detectada durante años. Una muestra del malware se descubrió en mayo de 2025 en VirusTotal, aunque hay rastros de su actividad que se remontan al menos a 2021.

ChillyHell está escrito en C++ y se dirige a las arquitecturas Intel. Fue estudiado por primera vez por miembros del equipo de Mandiant en 2023, cuando vincularon la puerta trasera con el grupo UNC4487. El equipo hackeó un sitio web ucraniano de seguros de coche utilizado por empleados del gobierno para reservar viajes. A pesar de la publicación de Mandiant, la muestra en sí no fue marcada como maliciosa en ese momento, lo que le permitió seguir propagándose sin ser detectada por el software antivirus.

Lo más alarmante es que la copia descubierta estaba firmada por el desarrollador y fue certificada por Apple en 2021. Los investigadores de Jamf Threat Labs, Ferdous Saljuki y Maggie Zirnheltobservaron que la funcionalidad de la versión coincide casi por completo con la muestra descrita anteriormente. Al mismo tiempo, el archivo ha estado disponible gratuitamente en la carpeta pública de Dropbox durante cuatro años y podría infectar sistemas, aunque se mantenga en la categoría de confianza.

Se desconoce la extensión de ChillyHell. Según Jaron Bradley, director de Jamf Threat Labs, es imposible determinar cuántos sistemas se vieron afectados. Basándose en la arquitectura de la puerta trasera, los analistas tienden a creer que fue creada por un grupo de ciberdelincuentes y utilizada en ataques más selectivos, en lugar de masivos. Apple ya ha revocado los certificados de los desarrolladores asociados con ChillyHell.

La puerta trasera cuenta con tres mecanismos de persistencia en el sistema. Si el programa se inicia con privilegios de usuario, se registra como LaunchAgent; con privilegios elevados, se registra como LaunchDaemon. Además, se utiliza un método de respaldo: modificar los archivos de configuración del shell de usuario (.zshrc, .bash_profile o .profile), que incorporan el comando autorun, que activa ChillyHell con cada nueva sesión de terminal.

Para permanecer invisible, utiliza una táctica poco común en macOS llamada timestomping, en la que a los archivos maliciosos se les asignan marcas de tiempo que corresponden a objetos legítimos para evitar ser detectados. ChillyHell también alterna entre protocolos de comando y control, lo que dificulta considerablemente su detección.

La arquitectura modular permite a los atacantes ampliar la funcionalidad con flexibilidad tras la implementación. La puerta trasera puede descargar nuevas versiones de sí mismo, instalar componentes adicionales y realizar ataques de fuerza bruta. Guarda nombres de usuario locales para futuros intentos de hackeo e inicia el robo de credenciales. Esta combinación lo convierte en una plataforma conveniente para futuros ataques y una presencia a largo plazo en el sistema.

Los investigadores destacan que la combinación de mecanismos de persistencia, la variedad de protocolos de comunicación y el diseño modular hacen de ChillyHell una herramienta extremadamente flexible. También señalan que se ha sometido al proceso de autenticación de Apple, lo que demuestra que el malware no siempre está firmado digitalmente.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli