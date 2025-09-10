A Jamf Threat Labs revelou nesta semana a descoberta do ChillyHell, um backdoor modular para macOS que conseguiu driblar o sistema de notarização (autenticação) da Apple e circular por quase quatro anos sem ser detectado. O software malicioso, identificado em maio de 2025, havia sido notarizado pela Maçã em 2021 e pôde ser instalado em qualquer Mac sem exibir os alertas de segurança.
O ChillyHell foi inicialmente mencionado em uma relatório da Mandiant, em 2023, como parte das atividades do grupo UNC4487, ligado a ataques de espionagem contra sites do governo da Ucrânia em 2022. A nova análise da Jamf detalhou o funcionamento do malware, que é escrito em C++, direcionado a Macs com processadores Intel e distribuído disfarçadamente como um aplicativo legítimo chamado applet.app.
Uma vez executado, o código coleta informações sobre o sistema e cria diferentes métodos de persistência para se manter ativo, seja como LaunchAgent 1Processo automatizado do sistema macOS que é executado em segundo plano quando um utilizador faz login., LaunchDaemon 2Programas em segundo plano, ou daemons, no macOS, que executam tarefas de manutenção do sistema. ou por meio da alteração de arquivos de inicialização do terminal como
.zshrc e
.bash_profile.
O programa malicioso é capaz de se comunicar com servidores de controle HTTP 3Hypertext Transfer Protocol. ou DNS 4Domain name system, ou sistema de nome de domínio., atualizar a si mesmo, instalar novos arquivos e até realizar ataques de força bruta contra senhas locais. Para se manter oculto, técnicas como timestomping, que altera as datas da criação e modificação de arquivos, eram utilizadas.
A Apple revogou os certificados de desenvolvedor usados para validar o malware, o que impede novas instalações. No entanto, computadores já infectados não são automaticamente protegidos, exigindo remoção manual.
O caso evidencia que o processo de notarização do macOS, apresentado pela empresa de Cupertino como uma barreira contra softwares maliciosos, não é infalível. Mesmo com a verificação automática, o ChillyHell conseguiu ser aprovado em 2021 e permanecer disponível por quase quatro anos.
Para usuários comuns, a recomendação da Maçã é redobrar o cuidado ao instalar apps fora da Mac App Store, além de manter o sistema sempre atualizado, e verificar a procedência de softwares, ainda que com o uso de ferramentas de segurança adicionais.
via The Hacker News
Notas de rodapé
- 1Processo automatizado do sistema macOS que é executado em segundo plano quando um utilizador faz login.
- 2Programas em segundo plano, ou daemons, no macOS, que executam tarefas de manutenção do sistema.
- 3Hypertext Transfer Protocol.
- 4Domain name system, ou sistema de nome de domínio.