Какой бы безопасной не казалась экосистема Apple, иногда и с ней случаются неприятные ист…

Какой бы безопасной не казалась экосистема Apple, иногда и с ней случаются неприятные истории. А теперь обо всем по порядку 👇

Относительно недавно в MacOS нашли бэкдор с симпатичным названием ChillyHell. Jamf Threat Labs наткнулись на образец, который кто-то залил в VirusTotal в мае 2025 года, но технически он был подписан Apple ещё в 2021 году. То есть официально «доверенный» бинарник, который при желании делает всё не то чтобы «плохо» — а напрямую злономеренно. Это модульный C++-бэкдор для Intel-машин, способный загружать модули, обновлять себя и долго сидеть в системе, маскируясь под легитимный нормальный софт

Что особенно режет глаз: Mandiant впервые упомянули родственную семью вредоносов ещё в 2023 году и связали их с группой, которую они отслеживали как UNC4487 (в материалах говорилось о целевой атаке на сайт автострахования, используемый госслужащими в Украине). Но тогда подробностей не предоставили, и часть сообщества просто не среагировала 🙈🙉🙊

Jamf показывает, что ChillyHell использует три способа закрепления в системе. Если его запустить от обычного пользователя — он прописывается как LaunchAgent; если с повышением привилегий — как LaunchDaemon. А ещё у него «запасной аэродром»: он пишет автозапуск в ~/.zshrc / .bash_profile / .profile, так что каждый новый терминальный сеанс снова поднимает его. Помимо этого, злоумышленники применяют timestomping — подмену временных меток файлов, чтобы искусственно состарить их и не вызвать подозрений

Модульная архитектура делает ChillyHell ощутимо опаснее: там и поддержка загрузки дополнительных компонентов, и выполнение брутфорса паролей, и сбор имён локальных пользователей для целевых атак, и кража учётных данных — короче, отличный универсальный инструмент для тех, кто планирует долгую и таргетированную атаку на заражённой машине. При этом образец в открытом доступе лежал в папке Dropbox с 2021 года, оставаясь в белом списке 📝

Пока непонятно, сколько машин реально пострадало. Руководитель Jamf Threat Labs прямо ответил, что «невозможно сказать», сколько компьютеров было заражено — но по архитектуре аналитики склоняются к тому, что это не массовая «волна» типа ботнета, а инструмент для целевых атак. Apple уже отозвала сертификаты, связанные с образцом, но это не отменяет угрозы для тех, у кого инстанс давно стоит и автономно существует

От себя добавлю, что подписи != безопасность; модульность и множественные механизмы автозапуска + timestomping — рецепт для тихого длительного присутствия. Так что если у вас есть маки (особенно на Intel), пора снимать розовые очки 🐣

Что рекомендую я

1️⃣проверьте /Library/LaunchDaemons и ~/Library/LaunchAgents на необычные plist и сделайте grep по содержимому на названия/хэши из отчёта Jamf

2️⃣проверьте ~/.zshrc/.bash_profile/.profile на незнакомые строки автозапуска

3️⃣проверьте подписанные приложения, особенно те, которые были получены через сторонние ссылки/Dropbox (не через App Store)

4️⃣поместите подозрительные бинарники в песочницу и посмотрите сетевую активность (C2-связи обычно выявляют смену протоколов у ChillyHell)

Открываем терминал и вбиваем следующее:

ls ~/Library/LaunchAgents /Library/LaunchDaemons

— посмотреть необычные plist

grep -R "applet" ~/Library /Library /Users 2>/dev/null

— простой поиск по имени

grep -E "applet|chrome_render|eDrawMax" -R /Users /Library 2>/dev/null

— поиск индикаторов из отчёта

Берегите себя и свои устройства 😉

#информационная_безопасность