Daha önce hareketsiz bir macOS tehdidi olan Chillyhell canlanıyor. Bu kötü amaçlı yazılımların güvenlik kontrollerini nasıl atlayabileceğini, gizli kalabileceğini ve Mac’inizi kontrol etmek için kendini kalıcı olarak yükleyebileceğini okuyun.
Siber güvenlik firması Jamf’in raporuna göre, hareketsiz bir macos tehdidi yeni yaşam belirtileri gösteriyor. Şirket, 2021’den beri aktif olan Chillyhell adlı bir MacOS arka kapısını yakından izliyor.
Kötü amaçlı yazılım ilk olarak 2023 yılında siber güvenlik firması Mandiant tarafından gün ışığına çıkarıldı ve başlangıçta UNC4487 olarak izlenen bir tehdit oyuncusu ile bağlantılıydı ve Matanbuchus kötü amaçlı yazılımları teslim etmek için Ukraynalı bir otomobil sigortası web sitesini hedeflediği biliniyordu.
JAMF Tehdit Labs ekibinin son araştırmaları, Intel tabanlı MAC’ler için tasarlanan yeni bir örneğin, 2 Mayıs 2025’te kötü amaçlı yazılımların hala geliştiğini gösteren Virustotal’a yüklendiğini ortaya koydu. Görüntüde gösterildiği gibi, Virustotal üzerindeki bir “sıfır” algılama puanı böyle bir tehdit için çok sıra dışıdır.
Daha fazla problama, Chillyhell’in modüler bir tasarıma sahip olduğunu ortaya koyuyor, bu da birden fazla işleve sahip olmasını sağlıyor. Ayrıca, uzaktan erişim, ek yükler bırakmak ve hatta şifreleri kırmak için kullanılabilir.
Daha da önemlisi, bu kötü amaçlı yazılım, uygulamaları kötü amaçlı içerik için kontrol etmek için tasarlanmış olan Apple’ın noterleme sürecini bile geçti. Bu, kötü amaçlı yazılımların bir geliştirici tarafından imzalandığı ve noter olduğu anlamına gelir. Bu kötü amaçlı dosya, 2021’den beri Dropbox’ta da barındırıldı.
Chillyhell nasıl gizli kalır
Bildiğimiz gibi, çoğu kötü amaçlı yazılım güvenlik araştırmacılarının bulması için ipuçları bırakır, ancak Chillyhell gizli kalmak için akıllı taktikler kullandığı için benzersizdir. Örneğin, kötü amaçlı yazılım, oluşturduğu dosyalardaki zaman damgalarını değiştirmek için Timestomping adlı bir teknik gerçekleştirir. Bu, onlardan daha yaşlı görünmelerini sağlar, bu da saldırı gerçekleştiğinde izlemeyi zorlaştırır.
Kötü amaçlı yazılım, tespit edilmesini önlemek için kontrol sunucularıyla iletişim kurma şeklini de değiştirir. Ayrıca, kullanıcıdan gizli kalmak için kötü amaçlı yazılım, bir tarayıcıda bir Decoy Google.com sayfasını açar ve bu da şüpheyi en aza indirir.
“Bir tuzak URL’si açar (
google.com) şu anda tam olarak bilinmeyen nedenlerle varsayılan web tarayıcısında, mevcut inanç kullanıcı şüphesini en aza indirmek. ”JAMF Tehdit Laboratuarları
Hackread.com ile paylaşılan bu rapor, kötü amaçlı yazılımların nasıl çalıştığı hakkında ayrıntılara girer. Bir bilgisayarda kalmasını sağlamak gibi, kötü amaçlı yazılım kendini kalıcı olarak yüklemek için üç farklı yolu destekler.
- Bir lansman olarak, bir kullanıcı giriş yaptığında başlar.
- Bir Launchdaemon olarak, bir kullanıcı giriş yapmadan önce bile bilgisayarın kendisi ile başlar.
- Yeni bir komut penceresi açıldığında çalışan kabuk profili enjeksiyonu ile.
Ayrıca, saldırgana bilgisayarı kontrol etmek için bir komut satırı vermek veya hatta kullanıcı şifrelerini kırmak için uzak bir sunucuya bağlanmak da dahil olmak üzere çeşitli görevleri yürütebilir.
İyi haber şu ki, JAMF ekibi, kötü amaçlı yazılımla ilişkili geliştirici sertifikalarını hızlı bir şekilde iptal etmek için Apple ile birlikte çalıştı. Bununla birlikte, bu keşif, “tüm kötü amaçlı kodların imzasız gelmediği” ve tehditlerin macOS üzerinde hızla ilerlediği rahatsız edici yeni bir gerçekliği vurgulamaktadır.