Nowy raport Jamf Threat Labs ujawnia, że złośliwe oprogramowanie Chillyhell pozostaje aktywne w stosunku do systemów macOS. Po raz pierwszy odkryte w 2021 r. I prywatnie zgłoszone przez firmę cyberbezpieczeństwa Mandiant w 2023 r., To trwałe zagrożenie nie wykazuje oznak zatrzymania. Naukowcy JAMF znaleźli świeżą próbkę na Virustotal w maju 2024 r., Co potwierdza dalsze działanie złośliwego oprogramowania.
Jak Chillyhell kradnie dane użytkownika Maca
Chillyhell kieruje poufne informacje na temat zainfekowanych komputerów Mac, w szczególności koncentrując się na nazwach użytkowników i hasłach. Złośliwe oprogramowanie wykorzystuje wyrafinowane metody, aby uniknąć wykrycia przez oprogramowanie bezpieczeństwa i badaczy.
Zaawansowane techniki unikania utrudniają wykrywanie
Złośliwe oprogramowanie stosuje dwie kluczowe taktyki, aby pozostać ukryte:
- Zakres czasu – zmienia daty tworzenia i modyfikacji plików, aby ukryć złośliwą aktywność
- Dynamiczny przełączanie protokołu poleceń i kontroli-Zmienia metody komunikacji, aby uniknąć monitorowania sieci
Te techniki unikania pozwalają Chillyhellowi działać niewykryte przez dłuższy czas, utrudniając śledzenie i usuwanie zespołów bezpieczeństwa.
Certyfikat dewelopera ogranicza limity przyszłej dystrybucji
Dochodzenie JAMF wykazało, że Apple odwołało certyfikaty programisty powiązane z Chillyhell. To odwołanie zapobiega łatwemu rozpowszechnianiu nowych wersji, ale nie usuwa istniejących infekcji z zagrożonych systemów. Użytkownicy komputerów Mac powinni zachować zaktualizowane oprogramowanie bezpieczeństwa i zachować ostrożność podczas pobierania aplikacji z niezaufanych źródeł. Kampania Chiillyhell pokazuje, że macOS pozostaje celem wyrafinowanych operacji złośliwego oprogramowania.
