Chillyhell surgió por primera vez en repositorios públicos de malware a principios de mayo de 2025, aunque su notarización firmada por desarrolladores se remonta a 2021.
Esta puerta trasera modular ha eludido la detección de los principales proveedores de antivirus a pesar de aprovechar el propio proceso de notarización de Apple para que parezca legítimo.
Al disfrazarse de un applet benigno de macOS, Chillyhell gana un punto de apoyo inicial en las máquinas objetivo antes de implementar sus sofisticadas rutinas de ataque.
Los analistas de JAMF señalaron que las muestras iniciales se entregaron a través de sitios web comprometidos que alojaban lo que parecían ser herramientas de productividad.
Una vez ejecutado, el malware invoca una rutina de perfil de host que reúne información detallada del sistema, incluidos directorios de usuarios, entornos de shell y listas de procesos activos.
Este reconocimiento permite que la puerta trasera adapte sus próximas acciones al entorno de la víctima, minimizando el riesgo de errores de ejecución en diversas configuraciones de macOS.
Después de este análisis temprano, los investigadores de Jamf identificado Estrategia de persistencia de doble etapa de ChillyHell.
En contextos no privilegiados, se instala como un lanzamiento de AGENT, colocando una plist en ~/biblioteca/lanzador/com.apple.qtop.plist y el binario principal en ~/biblioteca/com.apple.qtop/qtop.
Cuando hay privilegios elevados disponibles, se hace pasar a un lanzamiento de Daemon, escribiendo a /library/launchdaemons/com.apple.qtop.plist y/usr/local/bin/qtop.
En cualquier caso, estos mecanismos garantizan la ejecución al inicio de sesión o al arranque del sistema, transformando efectivamente hosts infectados en activos a largo plazo.
Además de los servicios de lanzamiento, ChillyHell incorpora un retroceso sigiloso al inyectar un comando de lanzamiento en el perfil de shell del usuario.
Detecta el shell activo, ya sea ZSH, BASH o SH), luego agrega una línea de invocación al archivo RC apropiado.
Esto asegura que incluso si los servicios de lanzamiento están deshabilitados o eliminados, el malware se reactiva durante cualquier nueva sesión terminal.
Tácticas de persistencia y manipulación de la marca de tiempo
Las rutinas de persistencia de ChillyHell se ven reforzadas por la manipulación de la marca de tiempo, diseñadas para evadir el análisis forense.
Después de crear sus artefactos Launchagent o LaunchDaemon, el malware llama a la llamada del sistema _utime () para retroceder la creación y los tiempos de modificación.
Si las llamadas directas al sistema fallan debido a los permisos insuficientes, se recae en los comandos de shell:-
touch -c -a -t 202101010000 /library/launchdaemons/com.apple.qtop.plist touch -c -m -t 202101010000/usr/local/bin/qtop applet.app script (fuente -jamf)
Este enfoque no solo oscurece la verdadera fecha de instalación, sino que puede manipular inadvertidamente las marcas de tiempo de nacimiento de APF, lo que hace que la detección por herramientas de análisis de línea de tiempo sea más difícil.
Al seleccionar cuidadosamente una fecha cercana a eventos genuinos del sistema, ChillyHell oculta efectivamente sus artefactos entre actualizaciones legítimas del sistema operativo y cambios iniciados por el usuario.
Una vez que se establece la persistencia, ChillyHell procede a su bucle de comando principal, MainCycle (), después de un retraso aleatorio.
La puerta trasera alterna entre los transportes HTTP y DNS, los servidores C2 codificados codificados en 93.88.75.252 y 148.72.172.53 sobre los puertos 53, 80, 1001 y 8080.
Cada ciclo obtiene nuevos descriptores de tareas, decodifica las cargas útiles Base64 y carga dinámicamente módulos como ModuleBackConnectshell para capas inverso interactivas, ModuleUpdater para capacidades de autoapotación y módulos de módulos para la contraseña local con el forro bruta.
Al combinar el abuso de notarización, los mecanismos de persistencia de múltiples capas y la evasión de la marca de tiempo, ChillyHell representa un avance significativo en las amenazas de MacOS.
Los equipos de seguridad cibernética deben priorizar el monitoreo de las plistas de servicio de lanzamiento y los archivos de Shell RC, así como implementar el análisis de la línea de tiempo para detectar fechas de modificación de archivos anómalo.
La colaboración continua entre investigadores y proveedores de plataformas es esencial para mitigar las tácticas en evolución del malware de macOS notarizado.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
