Ook macOS bevat backdoors: hoe de 'ChillyHell'-malware werkt

In dit artikel:

Jamf Threat Labs publiceert een diepgaand rapport over ChillyHell, een macOS‑malwarefamilie die Mandiant in 2023 ontdekte (ook bekend als UNC4487 of MATANBUCHUS) en die tot nu toe relatief onopgemerkt bleef. Het doel van het rapport is organisaties met macOS te waarschuwen en concrete Indicators of Compromise (IoC’s) aan te reiken.

ChillyHell gedraagt zich niet als een echte applet, maar maskeert zich vaak met namen als applet.app. Na installatie zoekt het verbinding met een command‑and‑control (C2)-server om het voortbestaan te waarborgen en start daarna profiling en dataverzameling. Voor blijvende aanwezigheid probeert de malware zichzelf als LaunchAgent of LaunchDaemon te installeren; als dat faalt activeert het zich bij het openen van de terminal.

De malware is ontworpen om ontdekking te bemoeilijken: het verwijdert artefacten die op aanwezigheid wijzen, slaapt willekeurig om analyses te frustreren, communiceert via meerdere protocollen en is modulair opgebouwd. Jamf noemt het “opmerkelijk flexibel”: het kan extra modules laden, wachtwoorden kraken en bewijsmateriaal opschonen.

Jamf werkte voor dit onderzoek samen met Google Threat Intelligence en Apple; Apple hielp volgens Google snel mee bij de analyse. Voor verdediging en opsporing heeft Jamf een set IoC’s gepubliceerd — waaronder bestands‑ en archiefhashes, notarized app‑bundle team‑ID’s, verdachte IP‑adressen en typische padlocaties zoals LaunchAgents/LaunchDaemons onder /Users/.../Library, /Library/LaunchDaemons, /usr/local/bin en tijdelijke mappen zoals /tmp.

Organisaties met macOS worden aangeraden logs te doorzoeken op de door Jamf genoemde signalen (onder andere verdachte notarizations en installatiepaden) en bekende hashes/IP‑adressen te vergelijken met hun omgeving. Omdat ChillyHell zich flexibel en stealthy gedraagt, helpt snelle detectie en blokkering van de gebruikte C2‑connecties samen met het monitoren van persistentiemechanismen om verdere besmetting te voorkomen.