El malware ChillyHell para macOS resurge usando Google.com como señuelo
ChillyHell, una amenaza para macOS que antes estaba inactiva, está resurgiendo. Descubre cómo este malware puede eludir los controles de seguridad, permanecer oculto e instalarse permanentemente para controlar tu Mac.
Una amenaza inactiva para macOS está dando señales de vida, según un informe de la firma de ciberseguridad Jamf. La compañía ha estado monitoreando de cerca una puerta trasera para macOS llamada ChillyHell, activa desde 2021.
El malware fue descubierto por primera vez en 2023 por la empresa de ciberseguridad Mandiant y originalmente estaba vinculado a un actor de amenazas identificado como UNC4487 , conocido por apuntar a un sitio web de seguros de automóviles de Ucrania para distribuir el malware MATANBUCHUS.
Una investigación reciente del equipo de Jamf Threat Labs reveló que una nueva muestra, diseñada para Macs con procesador Intel, se subió a VirusTotal el 2 de mayo de 2025, lo que demuestra que el malware sigue evolucionando. Como se muestra en la imagen, una puntuación de detección de "cero" en VirusTotal es muy inusual para una amenaza de este tipo.
Investigaciones más exhaustivas revelan que ChillyHell tiene un diseño modular, lo que le permite múltiples funciones. Además, podría usarse para acceso remoto, lanzar cargas útiles adicionales o incluso descifrar contraseñas.
Más importante aún, este malware incluso superó el proceso de certificación de Apple, diseñado para detectar contenido malicioso en las aplicaciones. Esto significa que el malware fue firmado y certificado por un desarrollador. Este archivo malicioso también estuvo alojado públicamente en Dropbox desde 2021.
Como sabemos, la mayoría del malware deja pistas que los investigadores de seguridad pueden encontrar, pero ChillyHell es único porque emplea tácticas ingeniosas para permanecer oculto. Por ejemplo, el malware utiliza una técnica llamada timestamping para cambiar las marcas de tiempo de los archivos que crea. Esto hace que parezcan más antiguos de lo que son, lo que dificulta rastrear cuándo ocurrió el ataque.
El malware también modifica su forma de comunicarse con sus servidores de control para evitar ser detectado. Además, para permanecer oculto al usuario, abre una página falsa de Google.com en el navegador, lo que puede minimizar las sospechas.
“Abre una URL señuelo (
Laboratorios de amenazas de Jamfgoogle.com) en el navegador web predeterminado por razones que no se conocen completamente en este momento, aunque la creencia actual es minimizar las sospechas del usuario”.
Este informe , compartido con Hackread.com, detalla el funcionamiento del malware. Para garantizar su permanencia en el equipo, el malware se instala de tres maneras diferentes.
- Como LaunchAgent, se inicia cada vez que un usuario inicia sesión.
- Como LaunchDaemon, se inicia con la propia computadora, incluso antes de que un usuario inicie sesión.
- Mediante la inyección del perfil de Shell, que se ejecuta cada vez que se abre una nueva ventana de comandos.
Además, puede ejecutar varias tareas, incluida la conexión a un servidor remoto para proporcionar al atacante una línea de comandos para controlar la computadora o incluso para descifrar contraseñas de usuarios.
La buena noticia es que el equipo de Jamf colaboró con Apple para revocar rápidamente los certificados de desarrollador asociados al malware. Sin embargo, este descubrimiento pone de manifiesto una preocupante realidad: no todo el código malicioso viene sin firmar y las amenazas avanzan rápidamente en macOS.
HackRead
