Исследователи из Jamf Threat Labs раскопали старый, но очень живучий зловред для macOS под названием ChillyHell. Оказалось, что этот модульный бэкдор спокойно распространялся как минимум с 2021 года — и всё это время был одобрен Apple и даже подписан легитимным разработчиком.
Что это значит? Всё просто: macOS воспринимала его как вполне безобидное приложение. Более того, вредоносный файл с 2021 года лежал на Dropbox в открытом доступе. Но в VirusTotal он попал только в мае 2025-го.
Впервые о ChillyHell заговорили ещё в 2023 году, когда Mandiant связала его с группой UNC4487. Но тогда вредонос тоже не попал в чёрные списки.
По данным исследователей, ChillyHell умеет:
- закрепляться в системе через LaunchAgent, LaunchDaemon или подмену профиля оболочки (например, .zshrc);
- использовать редкий для macOS приём timestomping — подгонять метки времени файлов под легитимные;
- переключаться между разными C2-протоколами;
- подгружать новые модули, брутфорсить пароли, собирать логины и разворачивать дополнительные атаки.
По словам экспертов, бэкдор создан, скорее всего, киберпреступной группировкой, а не для массовых заражений. Apple уже отозвала связанные с ним сертификаты, но сам факт, что вредонос четыре года ходил «под прикрытием» — тревожный сигнал.
