Porte dérobée CHILLYHELL pour macOS
Des experts en cybersécurité ont découvert une nouvelle famille de logiciels malveillants ciblant l'écosystème macOS d'Apple. Il s'agit d'une porte dérobée modulaire baptisée CHILLYHELL, qui suscite de vives inquiétudes en raison de sa flexibilité et de ses méthodes de persistance avancées.
Table des matières
Origines et attribution
CHILLYHELL a été associé à un groupe de menaces non catégorisé, UNC4487, qui serait actif depuis au moins octobre 2022. Les rapports de renseignement suggèrent que le groupe est probablement un espion. Ses opérations consistent notamment à compromettre les sites web d'entités gouvernementales ukrainiennes et à inciter les visiteurs à exécuter les logiciels malveillants Matanbuchus ou CHILLYHELL.
Contexte technique
La porte dérobée est écrite en C++ et conçue pour fonctionner sur les systèmes macOS à processeur Intel. Un échantillon CHILLYHELL récemment découvert, daté du 2 mai 2025, a révélé que le malware avait été notarié par Apple en 2021 et hébergé publiquement sur Dropbox depuis. Suite à cette découverte, Apple a révoqué les certificats de développeur associés.
Mécanismes d’infection et de persistance
Une fois déployé sur le système d'une victime, CHILLYHELL effectue un profilage complet de l'hôte, puis établit la persistance grâce à trois méthodes distinctes. Il contacte ensuite un serveur de commande et de contrôle (C2) codé en dur via HTTP ou DNS et entre dans une boucle de commande pour recevoir des instructions.
La configuration de la persistance implique plusieurs stratégies :
- S'installer en tant que LaunchAgent ou LaunchDaemon système
- Modification des profils de shell tels que .zshrc, .bash_profile ou .profile pour insérer une commande de lancement
Évasion par le biais du timestamping
Une technique d'évasion particulièrement remarquable est l'utilisation du timestomping par CHILLYHELL, qui modifie l'horodatage des fichiers malveillants pour les intégrer aux artefacts système légitimes. Si les appels système directs sont impossibles en raison de privilèges insuffisants, le logiciel malveillant utilise par défaut des commandes shell telles que :
- touch -c -a -t (pour la modification du temps d'accès)
- touch -c -m -t (pour le réglage de l'heure de modification)
Les deux commandes incluent une chaîne d’horodatage rétroactive pour éviter toute suspicion.
Capacités de commandement
La conception modulaire de CHILLYHELL offre aux opérateurs un large éventail de fonctions. Parmi les commandes prises en charge, on trouve :
- Lancer un reverse shell sur le serveur C2
- Téléchargement des versions mises à jour des logiciels malveillants
- Récupération et exécution de charges utiles supplémentaires
- Exécution du module ModuleSUBF pour énumérer les comptes utilisateurs à partir de /etc/passwd
- Exécution d'attaques par force brute à l'aide d'une liste de mots de passe fournie par le serveur C2
Une menace macOS sophistiquée
Grâce à ses multiples mécanismes de persistance, ses protocoles de communication polyvalents et son infrastructure modulaire, CHILLYHELL se distingue par sa sophistication exceptionnelle pour macOS. Des fonctionnalités telles que l'horodatage et le craquage de mots de passe le distinguent des menaces classiques rencontrées sur la plateforme.
Un détail alarmant est que le logiciel malveillant a été notarié par Apple, ce qui prouve que tous les logiciels notariés ne sont pas sûrs. Cela souligne la nécessité pour les utilisateurs et les organisations de rester vigilants et de ne pas se fier uniquement à la signature de code ou à la notarisation comme indicateurs de fiabilité.
