Un nuevo informe de Jamf Amenazing Labs revela que el malware ChillyHell permanece activo contra los sistemas MacOS. Descubierto por primera vez en 2021 e informado en privado por la firma de ciberseguridad Mandiant en 2023, esta amenaza persistente no muestra signos de detención. Los investigadores de JAMF encontraron una nueva muestra en Virustotal en mayo de 2024, confirmando la operación continua del malware.
Cómo ChillyHell roba datos de usuarios de Mac
Chillyhell se dirige a la información confidencial sobre las computadoras MAC infectadas, enfocándose específicamente en los nombres de usuario y las contraseñas. El malware utiliza métodos sofisticados para evitar la detección de software de seguridad e investigadores.
Las técnicas de evasión avanzada dificultan la detección
El malware emplea dos tácticas clave para mantenerse ocultas:
- Timestomping: altera las fechas de creación y modificación de archivos para ocultar actividad maliciosa
- Conjunto de protocolo dinámico de comando y control: cambia los métodos de comunicación para evitar el monitoreo de la red
Estas técnicas de evasión permiten que ChillyHell opere sin ser detectado durante períodos prolongados, lo que hace que el seguimiento y la eliminación desafíen para los equipos de seguridad.
Certificado de desarrollador Límites de revocación de la futura distribución
La investigación de Jamf descubrió que Apple ha revocado los certificados de desarrolladores vinculados a ChillyHell. Esta revocación evita que las nuevas versiones se distribuyan fácilmente, pero no elimina las infecciones existentes de los sistemas comprometidos. Los usuarios de Mac deben mantener una precaución actualizada de software de seguridad y ejercer al descargar aplicaciones de fuentes no confiables. La campaña de ChillyHell demuestra que MacOS sigue siendo un objetivo para las operaciones sofisticadas de malware.
