Desenvolvido em 2021, o malware ChillyHell pode ter infectado Macs sem ser detectado ao longo de quatro anos, de acordo com pesquisadores da empresa de segurança cibernética Jamf. Uma nova amostra do agente malicioso foi identificada em maio, indicando que ele está ativo e evoluindo.
Conforme comunicado divulgado na segunda-feira (8), o malware passou pelo processo de autenticação da Apple como um software aparentemente legítimo em 2021. Desde então, vinha sendo distribuído como um programa para Macs com processadores Intel, nos quais pode ter se instalado de maneira oculta.
Como age o ChillyHell?
Quando instalado no dispositivo, o malware para Macs utiliza diferentes táticas para permanecer oculto. Uma delas é o “timestomping”, que consiste na alteração das informações sobre data e horário dos arquivos criados, fazendo-os parecer mais antigos, o que dificulta identificar quando a infecção aconteceu.
- O agente malicioso também possui vários meios de se manter ativo no computador, como se programar para iniciar todas as vezes que o usuário fizer login;
- Outra possibilidade é o disfarce como programa que executa tarefas de manutenção do sistema em segundo plano;
- Já para minimizar as suspeitas do usuário, o ChillyHell pode abrir uma página do Google no navegador padrão ao se comunicar com seus servidores de controle;
- Ao se conectar a eles, o malware fornece uma linha de comando para que os invasores controlem o Mac remotamente e realizem ataques para quebrar as senhas do usuário.
A primeira detecção deste vírus para macOS aconteceu em 2023, quando a Mandiant o identificou em um ciberataque realizado pelo grupo UNC4487 contra membros do governo da Ucrânia. Na ocasião, ele ajudou a comprometer um site de seguros de automóveis que era utilizado pelas autoridades.
No entanto, a empresa manteve os detalhes em sigilo, deixando a comunidade em geral sem saber da sua existência. Dessa forma, ele continuou agindo em silêncio, sem ser detectado pelas ferramentas de segurança, mas agora a Apple o sinalizou como malware e revogou os certificados do desenvolvedor associados ao ChillyHell.
Macs infectados pelo ChillyHell continuam em risco
A aprovação do malware como um programa legítimo pelo sistema de verificação da Apple pode ter sido facilitada pela divisão de suas cargas úteis em módulos, segundo o relatório. Além disso, ele possuía a assinatura de um desenvolvedor e não apresentava comportamentos fora do padrão.
Com a sua sinalização pela gigante de Cupertino, a distribuição do ChillyHell para novas vítimas fica comprometida, mas os Macs infectados continuam em risco. Neste caso, é necessário que o usuário faça a remoção do malware manualmente, por meio de programas de segurança adequados.
Para reduzir os riscos de instalar softwares maliciosos, a Apple recomenda realizar downloads somente de fontes oficiais, como a App Store, sempre verificando a procedência do desenvolvedor. Outra dica é manter o sistema operacional atualizado.
Gostou do conteúdo? Continue acompanhando as notícias mais recentes no TecMundo e compartilhe-as nas redes sociais com os amigos.
