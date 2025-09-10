A Jamf Threat Labs revelou nesta semana a descoberta do ChillyHell, um backdoor modular para macOS que conseguiu driblar o sistema de notarização (autenticação) da Apple e circular por quase quatro anos sem ser detectado. O software malicioso, identificado em maio de 2025, havia sido notarizado pela Maçã em 2021 e pôde ser instalado em qualquer Mac sem exibir os alertas de segurança.

O ChillyHell foi inicialmente mencionado em uma relatório da Mandiant, em 2023, como parte das atividades do grupo UNC4487, ligado a ataques de espionagem contra sites do governo da Ucrânia em 2022. A nova análise da Jamf detalhou o funcionamento do malware, que é escrito em C++, direcionado a Macs com processadores Intel e distribuído disfarçadamente como um aplicativo legítimo chamado applet.app.

Uma vez executado, o código coleta informações sobre o sistema e cria diferentes métodos de persistência para se manter ativo, seja como LaunchAgent , LaunchDaemon ou por meio da alteração de arquivos de inicialização do terminal como .zshrc e .bash_profile .

O programa malicioso é capaz de se comunicar com servidores de controle HTTP ou DNS , atualizar a si mesmo, instalar novos arquivos e até realizar ataques de força bruta contra senhas locais. Para se manter oculto, técnicas como timestomping, que altera as datas da criação e modificação de arquivos, eram utilizadas.

A Apple revogou os certificados de desenvolvedor usados para validar o malware, o que impede novas instalações. No entanto, computadores já infectados não são automaticamente protegidos, exigindo remoção manual.

O caso evidencia que o processo de notarização do macOS, apresentado pela empresa de Cupertino como uma barreira contra softwares maliciosos, não é infalível. Mesmo com a verificação automática, o ChillyHell conseguiu ser aprovado em 2021 e permanecer disponível por quase quatro anos.

Para usuários comuns, a recomendação da Maçã é redobrar o cuidado ao instalar apps fora da Mac App Store, além de manter o sistema sempre atualizado, e verificar a procedência de softwares, ainda que com o uso de ferramentas de segurança adicionais.

via The Hacker News