Código HTML do Conteúdo

Post: O backdoor ChillyHell retorna para ameaçar os sistemas macOS. - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default"> <div> <div> <p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:15 setembro 2025 07:39</b></span></p> <p>Pesquisadores <a href="https://www.theregister.com/2025/09/10/chillyhell_modular_macos_malware/" target="_blank">denunciei</a> um novo aumento na atividade para <strong>Inferno Frio</strong>, um backdoor modular para macOS que se pensava estar inativo h&aacute; anos, mas que <em>parece ter infectado computadores sem ser detectado por anos</em>. Uma amostra do malware foi descoberta em maio de 2025 no VirusTotal, embora vest&iacute;gios de sua atividade remontem pelo menos a 2021.</p> <p>O ChillyHell &eacute; escrito em C++ e tem como alvo as arquiteturas Intel. Foi estudado pela primeira vez por membros da equipe Mandiant em 2023, quando eles vincularam o backdoor ao <strong>UNC4487</strong> grupo. A equipe hackeou um site de seguro de carro ucraniano usado por funcion&aacute;rios do governo para reservar viagens. Apesar da publica&ccedil;&atilde;o da Mandiant, a amostra em si n&atilde;o foi sinalizada como maliciosa na &eacute;poca, permitindo que continuasse se espalhando sem ser detectada pelo software antiv&iacute;rus.</p> <p>O mais alarmante &eacute; que <strong>a c&oacute;pia descoberta foi assinada pelo desenvolvedor e foi autenticada pela Apple em 2021</strong>. <em>Pesquisadores do Jamf Threat Labs, Ferdous Saljuki e Maggie Zirnhelt</em><a href="https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/" target="_blank">Observou</a> que a funcionalidade da vers&atilde;o corresponde quase completamente ao exemplo descrito anteriormente. Ao mesmo tempo, o arquivo <strong>est&aacute; dispon&iacute;vel gratuitamente na pasta p&uacute;blica do Dropbox h&aacute; quatro anos</strong> e pode infectar sistemas enquanto permanece na categoria confi&aacute;vel.</p> <p>N&atilde;o se sabe o qu&atilde;o difundido foi o ChillyHell. De acordo com Jaron Bradley, chefe do Jamf Threat Labs, &eacute; <strong>&ldquo;imposs&iacute;vel dizer&rdquo; quantos sistemas foram afetados.</strong> Com base na arquitetura do backdoor, os analistas tendem a acreditar que ele foi criado por um grupo de cibercriminosos e usado em ataques mais direcionados, em vez de em massa. A Apple j&aacute; revogou os certificados dos desenvolvedores associados ao ChillyHell.</p> <p>O backdoor tem tr&ecirc;s mecanismos para persist&ecirc;ncia do sistema. Se o programa for iniciado com privil&eacute;gios de usu&aacute;rio, ele se registrar&aacute; como <strong>Agente de lan&ccedil;amento</strong>; com privil&eacute;gios elevados, ele se registra como <strong>Daemon de lan&ccedil;amento</strong>. Al&eacute;m disso, um m&eacute;todo de backup &eacute; usado: <em>modificando os arquivos de configura&ccedil;&atilde;o do shell do usu&aacute;rio (.zshrc, .bash_profile ou .profile), que incorporam o comando autorun, que aciona o ChillyHell para ser ativado a cada nova sess&atilde;o de terminal.</em></p> <p>Para permanecer invis&iacute;vel, ele usa uma t&aacute;tica rara do macOS chamada <strong>Tomada de tempo</strong>, em que arquivos maliciosos <em>s&atilde;o atribu&iacute;dos carimbos de data/hora que correspondem a objetos leg&iacute;timos para evitar serem notados.</em> O ChillyHell tamb&eacute;m alterna entre protocolos de comando e controle, tornando a detec&ccedil;&atilde;o muito mais dif&iacute;cil.</p> <p>A arquitetura modular permite que invasores <em>para expandir a funcionalidade de forma flex&iacute;vel ap&oacute;s a implanta&ccedil;&atilde;o.</em> O backdoor pode baixar novas vers&otilde;es do pr&oacute;prio se, instalar componentes adicionais, realizar ataques de for&ccedil;a bruta, salvar nomes de usu&aacute;rio locais para futuras tentativas de hacking e iniciar o roubo de credenciais. Essa combina&ccedil;&atilde;o o torna uma plataforma conveniente para novos ataques e presen&ccedil;a de longo prazo no sistema.</p> <p>Os pesquisadores enfatizam que a combina&ccedil;&atilde;o de mecanismos de persist&ecirc;ncia, a variedade de protocolos de comunica&ccedil;&atilde;o e o design modular tornam o ChillyHell uma ferramenta extremamente flex&iacute;vel. Eles tamb&eacute;m observam que ele foi submetido ao processo de autentica&ccedil;&atilde;o da Apple, demonstrando que o malware nem sempre &eacute; assinado digitalmente.</p> <div> <div> <div> <div> <p><b><span>Reda&ccedil;&atilde;o</span></b><br /><span>A equipe editorial da Red Hot Cyber &eacute; composta por um grupo de indiv&iacute;duos e fontes an&ocirc;nimas que colaboram ativamente para fornecer informa&ccedil;&otilde;es e not&iacute;cias antecipadas sobre seguran&ccedil;a cibern&eacute;tica e computa&ccedil;&atilde;o em geral.</span></p> <p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p> </div> </div> </div> </div> </div> </div> </div></div>