Backdoor für Intel-Macs

Neue Variante der macOS-Malware “ChillyHell” entdeckt

Mac Malware
Bildquelle: Tada Images/Shutterstock.com
LinkedInRedditWhatsAppPocket

English Dieser Artikel ist auch auf Englisch verfügbar.

Das Threat-Labs-Team von Jamf hat eine neue Variante der macOS-Malware-Familie “ChillyHell” identifiziert, die bislang nur in begrenzten Fachkreisen dokumentiert war. Die Schadsoftware operiert weiterhin mit einer gültigen Apple-Entwicklersignatur aus dem Jahr 2021 und blieb dadurch lange Zeit von Antivirenlösungen unentdeckt.

Die neu entdeckte ChillyHell-Variante präsentiert sich als C++-basierte Backdoor für Intel-Macs und gibt sich als legitimes macOS-Applet aus, ohne jedoch entsprechende Funktionen zu bieten. Das modulare Design der Malware-Familie ermöglicht es Angreifern, verschiedene Schadfunktionen nachzuladen: von Fernzugriff über das Einschleusen weiterer Payloads bis hin zu Brute-Force-Attacken auf Passwörter.

Anzeige

Zur Tarnung setzt die neue Variante auf ungewöhnliche Techniken wie Timestomping, eine bei macOS-Schädlingen seltene Methode zur Manipulation von Dateizeitstempeln. Zusätzlich wechselt die Malware dynamisch zwischen verschiedenen Command-and-Control-Protokollen, was ihre Entdeckung zusätzlich erschwert.

Ursprünge bei staatlich unterstützten Hackern

ChillyHell wurde erstmals 2023 in einem vertraulichen Mandiant-Bericht mit der Cybergruppe UNC4487 in Verbindung gebracht, die gezielt ukrainische Regierungsbeamte ins Visier nimmt. Die Angreifer nutzten unter anderem die kompromittierte Website einer ukrainischen Autoversicherung, die von Regierungsmitarbeitern für Dienstreisen genutzt wurde, um die verwandte Malware MATANBUCHUS zu verbreiten.

Sowohl die neue ChillyHell-Variante als auch MATANBUCHUS verwenden identische Apple-Signaturzertifikate. Das ist ein deutlicher Hinweis auf gemeinsame Entwickler oder einer engen Kooperation zwischen den Malware-Autoren.

Anzeige

Notarisierung als Sicherheitslücke

Die Tatsache, dass die ChillyHell-Variante seit Jahren über eine gültige Apple-Notarisierung verfügt, macht sie besonders gefährlich. Apples Gatekeeper-System und viele Sicherheitslösungen stufen signierte Software automatisch als vertrauenswürdig ein. Jamf-Sicherheitsexperte Thomas Mueller kommentiert: “Diese Variante führt uns drastisch vor Augen, dass eine Apple-Signatur kein Garant für sicheren Code ist.”

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Schutzmaßnahmen für Unternehmen

IT-Administratoren sollten ihre Sicherheitsarchitektur überdenken und zusätzliche Schutzebenen implementieren, die auch signierte Software auf anomales Verhalten analysieren. Jamf empfiehlt verstärkte Netzwerküberwachung und regelmäßige Verhaltensanalysen, um auch zertifizierte Schadsoftware zu identifizieren.

(lb/Jamf)


Anzeige

Weitere Artikel

Google Cloud: Transfer-Gebühren fallen in Europa weg
iPhone Air setzt auf eSIM: “Digitaler Wendepunkt”
Persönliche Daten von Kabinettsmitgliedern und anderen online
Mitarbeiter nach Cyberattacke auf Justizsenatorin sensibilisiert
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.