Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular Apple MacOS llamada ChillyHell, llamada Zinorrat, que puede dirigirse a los sistemas de Windows y Linux, y un troyano de acceso remoto (rata) basado en GO.
Según un análisis de Jamf Amenazas Labs, ChillyHell está escrito en C ++ y se desarrolla para arquitecturas Intel.
ChillyHell es el nombre asignado a malware causado por un clúster de amenaza no categorizado llamado UNC4487. Los grupos de piratería han sido calificados activos desde al menos octubre de 2022.
Según la inteligencia de amenazas, compartida por Google Mandiant, UNC4487 es sospechoso de espionaje y se ha observado que compromete el sitio web de las agencias gubernamentales ucranianas y apunta a los ingenieros sociales para ejecutar Matambuchus o malware Chileel.
Apple Device Management Company dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se ha publicado en Dropbox desde entonces. Apple luego revocó el certificado de desarrollador ligado a malware.
Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece persistencia utilizando tres métodos diferentes. Luego inicializa la comunicación de comando y control (C2) con el servidor codificado (93.88.75 (.) 252 o 148.72.172 (.) 53).
Para configurar la persistencia, ChillyHell se instala como un lanzamiento de lanzamiento o lanzamiento del sistema. Como mecanismo de copia de seguridad, modifique el perfil de shell del usuario (.zshrc, .bash_profile o .profile) para insertar el comando de inicio en el archivo de configuración.
Una táctica notable empleada en malware es usar pruebas de tiempo para cambiar la marca de tiempo de los artefactos creados para evitar el aumento de las banderas rojas.
«Si no hay suficiente permiso para actualizar la marca de tiempo mediante una llamada del sistema directo, volveremos a usar -c -a -t y touch -c -m -t, respectivamente, usando comandos de shell.
ChillyHell admite una amplia gama de comandos que inician un shell inverso a una dirección IP C2, descargan nuevas versiones del malware, obtienen cargas útiles adicionales, ejecutan módulos modulares, enumeran cuentas de usuario desde «/etc/etswd» y le permiten realizar ataques de fuerza bruta utilizando una lista redefinida de contraseñas del servidor C2.
«Entre sus múltiples mecanismos de persistencia, la capacidad de comunicar diferentes protocolos y estructuras modulares, ChillyHell es extremadamente flexible», dijo Jamf. «Las características como Time Stomp y la crujido de contraseña hacen de esta muestra un descubrimiento raro en el panorama actual de amenazas de macOS».
«En particular, ChillyHell se notaria y sirve como un recordatorio importante de que no todo el código malicioso no está firmado».
Los hallazgos encajan con el descubrimiento de Zirorrat, una rata para su uso en Windows infectados con commandeer y hosts de Linux utilizando un bot de telegrama llamado @LarterrorsBot (también conocido como LRAT). El malware se presentó por primera vez a Virustotal el 8 de julio de 2025, muestra evidencia. No comparte ningún duplicado con otras familias de malware conocidas.
La versión GO compilada de Linux admite una amplia gama de funciones para permitir la eliminación de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través del servicio Systemd y la ejecución de cualquier comando –
/fs_list, directorios /fs_get, excluye archivos de host /métricos, mata un proceso particular al pasar el comando «PS» Linux /proc_kill para ejecutar el perfil del sistema /proc_list, matar un proceso particular al pasar el PID como entrada /captura_display, y matar un proceso particular para establecer una pantalla de pantalla /persistencia.
La versión de Windows de Zirorrat es casi idéntica a su contraparte de Linux, confiando en un mecanismo de persistencia basado en Linux. Esto podría indicar que el desarrollo de la variante de Windows es un trabajo continuo.
«Su objetivo principal es servir como una herramienta de recolección, exfiltración y acceso remoto administrados centralmente a través de bots de telegrama», dijo Alessandra Rizzo, investigadora de Sysdig. «Telegram sirve como la infraestructura C2 principal donde el malware recibe más comandos cuando se implementa en la máquina de la víctima».
Un análisis posterior de las capturas de pantalla filtradas a través de bots de telegrama reveló que la carga útil se distribuyó a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware «infecta» a su propia máquina para probar su funcionalidad.
Zirorrat probablemente se considera el único trabajo de origen turco, dado el lenguaje utilizado en los chats de telegrama.
«El ecosistema de malware no tiene una escasez de ratas, pero los desarrolladores de malware todavía están dedicando su tiempo para crearlas desde cero», dice Rizzo. «La personalización de Zirorrat y los controles automatizados resaltan la sofisticación en evolución del malware moderno, incluso dentro de las primeras etapas».
Source link
