Jamf Threat Labs heeft een nieuwe variant van de kwaadaardige codefamilie geïdentificeerd ChillyHell, een modulaire backdoor die specifiek gericht is op macOS. Ondanks Apples geavanceerde beveiligingsmaatregelen is de dreiging onopgemerkt gebleven en jarenlang openbaar online beschikbaar gebleven. De ontdekking onderstreept hoe snel cyberdreigingen voor macOS zich ontwikkelen – en hoe moeilijk ze tijdig te detecteren zijn geworden.

Ontdekking van de nieuwe variant

In het onlangs gepubliceerde rapport ChillyHell: een diepe duik in een modulaire macOS-achterdeur Jamf Threat Labs beschrijft hoe een nieuwe ChillyHell-variant geüpload op VirusTotaal – een platform waar bestanden worden geanalyseerd met honderden antivirusprogramma's. Ondanks het bestand bevatte geavanceerde malware code, werd het aanvankelijk niet als gevaarlijk gemarkeerd door gevestigde antivirusoplossingen.

Het bleek ook dat dezelfde code al bestond 2021 slaagde erin de beveiligingscontroles van Apple te doorstaan, wat betekent dat het mogelijk al enkele jaren actief en onopgemerkt was voordat het in 2025 werd ontdekt.

Advertentie

Achtergrond van de dreiging

De documentatie van ChillyHell dateert uit 2023, toen de dreiging voor het eerst in verband werd gebracht met een aanvalsgroep die het op Oekraïense functionarissen gemunt had. Het modulaire ontwerp van de code maakt het bijzonder gevaarlijk – het kan eenvoudig worden aangepast aan:

• Geven externe toegang naar geïnfecteerde systemen.
• Extra malware downloaden in meerdere stappen.
• Implementeren bruteforce-aanvallen op wachtwoorden.

Rapporten bevestigen ook dat de code openbaar is gepubliceerd op Dropbox sinds 2021, wat de langdurige aanwezigheid van de dreiging nog eens onderstreept.

Tactieken die de bescherming omzeilen

ChillyHell gebruikt ongebruikelijke en geavanceerde methoden om detectie te omzeilen:

• Tijd stampen: manipulatie van tijdstempels om schadelijke bestanden te verbergen.
• Dynamische C2-protocollen: de mogelijkheid om te schakelen tussen meerdere commando- en controlekanalen.
• Flexibiliteit en modulariteit: waardoor het voor traditionele beveiligingsoplossingen moeilijk wordt om de bedreiging permanent te blokkeren.

Volgens Jamf Threat Labs werd de bedreiging ontdekt tijdens een routinematige analyse van VirusTotal, waarbij onderzoekers afwijkende processen en gedragspatronen konden identificeren die wezen op iets onbekends.

Reactie van Jamf

“Dit soort ontdekkingen tonen de noodzaak aan van versterkte beveiligingspraktijken voor macOS-gebruikers. "Zelfs schijnbaar veilige systemen kunnen achterdeurtjes bevatten die jarenlang onopgemerkt zijn gebleven", zegt Peo Strindlund op Jamf.

Het belang van cyberbeveiliging

De ontdekking van ChillyHell herinnert ons eraan dat het dreigingslandschap voor macOS voortdurend verandert. Een achterdeur die jarenlang zowel Apples beveiligingsfilters als antivirussoftware wist te omzeilen, laat zien hoe belangrijk het is voor bedrijven om aan te vullen met gespecialiseerde beveiligingsoplossingen.

Het werk van Jamf Threat Lab toont ook de waarde aan van proactieve analyses, waar onderzoekers geavanceerde methoden kunnen gebruiken om bedreigingen te identificeren die anders onzichtbaar zouden zijn gebleven.

Over Jamf Threat Labs

Jamf-bedreiging Labs bestaat uit een wereldwijd team van dreigingsonderzoekers en cybersecurity-experts Deze organisatie richt zich op het analyseren en documenteren van opkomende bedreigingen voor macOS en mobiele platforms. Door hun bevindingen te publiceren, vergroten ze het bewustzijn bij zowel bedrijven als particulieren en helpen ze organisaties bij het ontwikkelen van betere beveiligingspraktijken.