Jamf Threat Labs har identificeret en ny variant af den ondsindede kodefamilie ChillyHelve, en modulær bagdør specifikt rettet mod macOS. Trods Apples avancerede sikkerhedskontroller er truslen gået ubemærket hen og har været åbent tilgængelig online i årevis. Opdagelsen fremhæver, hvor hurtigt cybertrusler mod macOS udvikler sig – og hvor vanskelige de er blevet at opdage rettidigt.

Opdagelsen af den nye variant

I den nyligt offentliggjorte rapport ChillyHell: Et dybdegående dyk ned i et modulært macOS-bagdør Jamf Threat Labs beskriver, hvordan en ny ChillyHell-varianten uploadet den VirusTotal – en platform hvor filer analyseres mod hundredvis af antivirusprogrammer. filen indeholdt avanceret malware kode, blev den oprindeligt ikke markeret som farlig af etablerede antivirusløsninger.

Det viste sig også, at den samme kode allerede var 2021 formåede at bestå Apples sikkerhedstjek, hvilket betyder, at den kunne have været aktiv og uanet i flere år før dens opdagelse i 2025.

Reklame

Baggrund for truslen

ChillyHells dokumentation går tilbage til 2023, hvor truslen først blev forbundet med en angribergruppe, der var rettet mod ukrainske embedsmænd. Kodens modulære design gør den særligt farlig – den kan nemt tilpasses til:

• Give fjernadgang til inficerede systemer.
• Download yderligere malware i flere trin.
• Implementér bruteforce-angreb på adgangskoder.

Rapporter bekræfter også, at koden er blevet offentliggjort på Dropbox siden 2021, hvilket yderligere understreger truslens langsigtede tilstedeværelse.

Taktikker, der omgår beskyttelse

ChillyHell bruger usædvanlige og sofistikerede metoder til at undgå at blive opdaget:

• Tidsstampning: manipulation af tidsstempler for at skjule skadelige filer.
• Dynamiske C2-protokollermuligheden for at skifte mellem flere kommando- og kontrolkanaler.
• Fleksibilitet og modularitethvilket gør det vanskeligt for traditionelle sikkerhedsløsninger at blokere truslen permanent.

Ifølge Jamf Threat Labs blev truslen opdaget under en rutinemæssig analyse på VirusTotal, hvor forskere var i stand til at identificere unormale processer og adfærdsmønstre, der indikerede noget ukendt.

Kommentar fra Jamf

“"Denne type af Opdagelser viser behovet for styrket sikkerhedspraksis for macOS-brugere. "Selv tilsyneladende sikre systemer kan indeholde bagdøre, der har været skjult i årevis," siger Peo Strindlund om Jamf.

Vigtigheden af cybersikkerhed

Opdagelsen af ChillyHell er en påmindelse om, at trusselsbilledet for macOS konstant ændrer sig. En bagdør, der formåede at omgå både Apples sikkerhedsfiltre og antivirussoftware i flere år, viser, hvor vigtig den er for virksomheder at supplere med specialiserede sikkerhedsløsninger.

Jamf Threat Labs arbejde demonstrerer også værdien af proaktive analyser, hvor forskere kan bruge avancerede metoder til at identificere trusler, der ellers ville være forblevet usynlige.

Om Jamf Threat Labs

Jamf-trussel Labs består af et globalt team af trusselsforskere og cybersikkerhedseksperter som fokuserer på at analysere og dokumentere nye trusler mod macOS og mobile platforme. Ved at offentliggøre deres resultater øger de bevidstheden blandt både virksomheder og enkeltpersoner, samtidig med at de hjælper organisationer med at udvikle bedre sikkerhedspraksis.