Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mac-Malware CHILLYHELL MacOS Backdoor

CHILLYHELL MacOS Backdoor

Von Mezo in Mac-Malware, Hintertür-Viren
Übersetzen Sie in:

Cybersicherheitsexperten haben eine neue Malware-Familie entdeckt, die es auf das macOS-Ökosystem von Apple abgesehen hat. Es handelt sich um eine modulare Backdoor namens CHILLYHELL, die aufgrund ihrer Flexibilität und fortschrittlichen Persistenzmethoden ernsthafte Bedenken hervorruft.

Ursprünge und Zuschreibung

CHILLYHELL wurde mit einem nicht kategorisierten Bedrohungscluster mit der Bezeichnung UNC4487 in Verbindung gebracht, der vermutlich seit mindestens Oktober 2022 aktiv ist. Geheimdienstberichte deuten darauf hin, dass es sich bei der Gruppe wahrscheinlich um einen Spionageakteur handelt. Zu ihren Aktivitäten gehört die Kompromittierung von Websites ukrainischer Regierungsstellen und die Verleitung von Besuchern zur Ausführung der Schadsoftware Matanbuchus oder CHILLYHELL.

Technischer Hintergrund

Die Backdoor ist in C++ geschrieben und für die Ausführung auf Intel-basierten macOS-Systemen konzipiert. Ein neu entdecktes CHILLYHELL-Sample vom 2. Mai 2025 enthüllte, dass die Malware 2021 von Apple notariell beglaubigt und seitdem öffentlich auf Dropbox gehostet wurde. Nach dieser Entdeckung widerrief Apple die zugehörigen Entwicklerzertifikate.

Infektions- und Persistenzmechanismen

Nach der Installation auf dem System eines Opfers führt CHILLYHELL ein umfassendes Host-Profiling durch und etabliert anschließend Persistenz mithilfe von drei verschiedenen Methoden. Anschließend kontaktiert es über HTTP oder DNS einen fest codierten Command-and-Control-Server (C2) und betritt eine Befehlsschleife, um Anweisungen zu empfangen.

Das Persistenz-Setup umfasst mehrere Strategien:

  • Installiert sich selbst als LaunchAgent oder System-LaunchDaemon
  • Ändern von Shell-Profilen wie .zshrc, .bash_profile oder .profile, um einen Startbefehl einzufügen

Umgehung durch Zeitstempeln

Eine besonders bemerkenswerte Umgehungstechnik ist CHILLYHELLs Einsatz von Timestomping. Dabei werden die Zeitstempel schädlicher Dateien so verändert, dass sie mit legitimen Systemartefakten verschmelzen. Sind direkte Systemaufrufe aufgrund unzureichender Berechtigungen nicht möglich, greift die Malware standardmäßig auf Shell-Befehle zurück, wie zum Beispiel:

  • touch -c -a -t (zur Änderung der Zugriffszeit)
  • touch -c -m -t (zur Anpassung der Änderungszeit)

Beide Befehle enthalten eine rückdatierte Zeitstempelzeichenfolge, um Verdacht zu vermeiden.

Befehlsfunktionen

Der modulare Aufbau von CHILLYHELL bietet Bedienern eine Vielzahl von Funktionen. Zu den unterstützten Befehlen gehören:

  • Starten einer Reverse Shell zum C2-Server
  • Herunterladen aktualisierter Malware-Versionen
  • Abrufen und Ausführen zusätzlicher Nutzdaten
  • Ausführen des Moduls ModuleSUBF zum Aufzählen von Benutzerkonten aus /etc/passwd
  • Durchführen von Brute-Force-Angriffen mithilfe einer vom C2-Server bereitgestellten Kennwortliste

Eine ausgeklügelte macOS-Bedrohung

Mit mehreren Persistenzmechanismen, vielseitigen Kommunikationsprotokollen und einem modularen Framework sticht CHILLYHELL als ungewöhnlich ausgeklügelte macOS-Malware hervor. Funktionen wie Zeitstempelung und Passwort-Cracking heben die Malware von den typischen Bedrohungen auf dieser Plattform ab.

Ein alarmierendes Detail ist, dass die Malware von Apple notariell beglaubigt wurde. Dies beweist, dass nicht jede notariell beglaubigte Software sicher ist. Dies unterstreicht die Notwendigkeit für Benutzer und Organisationen, wachsam zu bleiben und sich nicht allein auf Code-Signierung oder Beglaubigung als Indikatoren für Vertrauenswürdigkeit zu verlassen.

Im Trend

Am häufigsten gesehen

Wird geladen...