4 года под носом у Apple. Опасный бэкдор спокойно жил в macOS с официальной подписью

Исследователи сообщили о новом всплеске активности ChillyHell — модульного бэкдора для macOS, который считался давно неактивным, но, по всей видимости, заражал компьютеры в течение нескольких лет, оставаясь незамеченным. Образец программы был обнаружен в мае 2025 года в сервисе VirusTotal, хотя следы её работы уходят как минимум к 2021 году.

ChillyHell написан на C++ и рассчитан на архитектуры Intel. Впервые его изучили члены команды Mandiant в 2023 году, когда связали бэкдор с группировкой UNC4487. Эта команда взломала украинский сайт автострахования, которым пользовались государственные служащие для оформления поездок. Несмотря на публикацию Mandiant, сам образец тогда не получил отметки как вредоносный, что позволило ему продолжать распространяться без внимания антивирусов.

Самый тревожный факт — обнаруженный экземпляр оказался подписанным разработчиком и прошёл процедуру нотаризации Apple ещё в 2021 году. Исследователи Jamf Threat Labs, Фердоус Салджуки и Мэгги Зирнхельт, отметили , что функционал версии почти полностью совпадает с ранее описанным образцом. При этом файл на протяжении четырёх лет свободно размещался в публичной папке Dropbox и мог заражать системы, оставаясь в доверенной категории.

Насколько широко распространялся ChillyHell, неизвестно. По словам руководителя Jamf Threat Labs Джарона Брэдли, «невозможно сказать», сколько систем оказалось под ударом. Исходя из архитектуры бэкдора, аналитики склонны считать, что он создан киберпреступной группировкой и использовался в более целевых атаках, а не массово. Apple уже аннулировала сертификаты разработчика, связанные с ChillyHell.

Бэкдор имеет три механизма закрепления в системе. Если программа запускается с правами пользователя, она прописывает себя как LaunchAgent; при повышенных привилегиях регистрируется как LaunchDaemon. Дополнительно используется резервный способ — модификация пользовательских конфигурационных файлов оболочки (.zshrc, .bash_profile или .profile), куда внедряется команда автозапуска, благодаря чему ChillyHell активируется при каждом новом терминальном сеансе.

Для скрытности применяется редкая для macOS тактика — timestomping, когда вредоносные файлы получают временные метки, совпадающие с легитимными объектами, чтобы не выделяться среди них. Кроме того, ChillyHell переключается между разными протоколами управления и контроля, что значительно усложняет обнаружение.

Модульная архитектура даёт возможность злоумышленникам гибко расширять функционал после внедрения. Бэкдор умеет загружать новые версии самого себя, устанавливать дополнительные компоненты, выполнять атаки методом перебора паролей, сохранять имена локальных пользователей для будущих попыток взлома, а также инициировать кражу учётных данных. Такой набор делает его удобной платформой для дальнейших атак и долгосрочного присутствия в системе.

Исследователи подчёркивают, что совокупность механизмов закрепления, многообразие протоколов связи и модульная конструкция делают ChillyHell чрезвычайно гибким инструментом. Отдельно отмечается и факт его прохождения через процесс нотарификации Apple — наглядное напоминание о том, что вредоносное ПО не всегда идёт без подписи.