Selon Jamf Threat Labs, ChillyHell est un backdoor macOS modulaire sophistiqué, lié initialement à l’acteur UNC4487 ciblant des responsables ukrainiens, et ayant réussi à passer la notarisation Apple (toujours valide depuis 2021). L’analyse met en lumière des capacités avancées de persistance, de communication C2 (DNS/HTTP), de brute force de mots de passe et d’évasion via timestomping, soulevant des questions sur la confiance accordée à la signature/notarisation de code.

Points clés techniques:

  • Modules principaux (C++ sur architectures Intel) :
    • ModuleBackconnectShell : shell inversé (reverse shell)
    • ModuleUpdater : auto-mise à jour
    • ModuleLoader : exécution de charges utiles
    • ModuleSUBF : brute force de mots de passe

Persistance et reconnaissance:

  • Persistance via LaunchAgents/LaunchDaemons ou injection dans les profils shell.
  • Profilage hôte étendu avec proc_listpids() et des requêtes au service d’annuaire (directory services).

Command & Control et évasion:

  • C2 via enregistrements DNS TXT et HTTP, avec IPs codées en dur.
  • Timestomping pour l’évasion via les appels système _utime().

La communication C2 s’appuie sur des serveurs hardcodés (ex : 93.88.75.252, 148.72.172.53, ports 53/80/1001/8080) par HTTP et DNS TXT (QueryGate, QueryHTTP, QueryTXTRecords), et chaque cycle de commande module des tâches depuis le C2 :

  • Reverse shell interactif (backconnect)
  • Mise à jour ou chargement de nouveaux payloads sur le système (/tmp/kworker)
  • ModuleSUBF : brute force local des mots de passe utilisateurs via outils téléchargés et wordlists ciblées, attaque contre Kerberos avec stockage du résultat dans good.txt

Points durs infosec/TTP :

  • Modularité et persistance multi-niveaux
  • Timestomping avancé
  • Protocoles C2 multiples (HTTP/DNS), tâches dynamiques
  • Brute force local automatisé Kerberos
  • Notarisation et signature légitime
  • Discrétion (dossier/fichier voire nommage simulant applet Apple légitime)

IoCs principaux :

  • Samples : 6a144aa70128ddb6be28b39f0c1c3c57d3bf2438 (applet.app), c52e03b9a9625023a255f051f179143c4c5e5636 (eDrawMaxBeta2023), 87dcb891aa324dcb0f4f406deebb1098b8838b96 (chrome_render)
  • C2 : 93.88.75.252, 148.72.172.53

Ce malware illustre les nouvelles capacités furtives des menaces macOS et l’importance d’une surveillance renforcée, y compris pour les applications validées par Apple.

Type d’article: analyse/ publication de recherche visant à documenter un malware macOS modulaire notarisé, ses modules, ses mécanismes de persistance et ses canaux C2.

🔗 Source originale : https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/

🖴 Archive : https://web.archive.org/web/20250910180137/https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/