Một làn sóng mã độc ChillyHell macOS mới đã xuất hiện dưới radar, bất chấp việc sử dụng các kỹ thuật trinh sát tiến trình tiên tiến và duy trì trạng thái notarization thành công trong nhiều năm. Jamf Threat Labs gần đây đã phát hiện một mẫu được ký bởi nhà phát triển trên VirusTotal, sử dụng phương pháp tạo hồ sơ điểm cuối tinh vi và thiết lập khả năng duy trì thông qua nhiều cơ chế khác nhau.

Tổng quan về Mã độc ChillyHell macOS và Bối cảnh Đe dọa

Mã độc, được đặt tên là ChillyHell, đã né tránh được nhiều hệ thống phát hiện antivirus phổ biến. Nguồn gốc của nó có thể được truy dấu đến các chiến dịch nhắm mục tiêu vào người dùng chính phủ Ukraine có giá trị cao. ChillyHell không phải là một thực thể hoàn toàn xa lạ trong bối cảnh mối đe dọa mạng.

Năm 2023, một báo cáo riêng tư của Mandiant đã mô tả chi tiết về mã độc này, liên kết nó một cách lỏng lẻo với các cuộc tấn công chống lại các quan chức Ukraine. Trong một trường hợp, nhóm tấn công (UNC4487) đã xâm nhập một trang web bảo hiểm ô tô của Ukraine, vốn là bắt buộc đối với nhân viên chính phủ, để phát tán mã độc MATANBUCHUS. Quyền truy cập này sau đó đã được bán cho các bên độc hại khác.

ChillyHell được Mandiant phát hiện khi theo dõi dấu vết của các chứng chỉ ký mã được sử dụng bởi MATANBUCHUS. Điều này đã hé lộ hai mẫu macOS khác nhau:

• Một mẫu được tích hợp với một máy chủ SSH bí mật.
• Một biến thể gọn nhẹ hơn.

Phân tích Kỹ thuật Mã độc ChillyHell macOS

Khả năng Lẩn tránh và Notarization

Mẫu eDrawMaxBeta mạnh mẽ hơn đã được Apple notarized bằng TEAMID F645668Q3H. Trong khi đó, mẫu đối tác của nó, chrome_render, sử dụng TEAMID R868N47FV5, lại không được notarized.

Vào tháng 5 năm 2025 (theo bản gốc, có thể là lỗi chính tả và ý muốn nói là 2023 hoặc 2024), các nhà nghiên cứu của Jamf đã tìm thấy một mẫu ChillyHell mới (applet.app) trên VirusTotal. Mẫu này đã được notarized vào năm 2021 và mang cùng TEAMID R868N47FV5 như biến thể chrome_render trước đó.

Mẫu này, mặc dù được lưu trữ công khai trên Dropbox trong nhiều năm, vẫn giữ trạng thái notarized và không bị phát hiện. Điều này minh chứng cho kỹ năng lẩn tránh tinh vi của những kẻ vận hành mã độc.

File thực thi đã được phân tích là một backdoor mô-đun viết bằng C++. Nó ngụy trang thành một ứng dụng applet vô hại nhưng lại thiếu bất kỳ chức năng AppleScript hợp pháp nào mà một applet macOS thông thường sẽ có. Mục đích thực sự của nó được kích hoạt ngay khi thực thi. Nó ngay lập tức thu thập dữ liệu môi trường và thiết lập khả năng duy trì trên hệ thống.

Kỹ thuật Hồ sơ Hệ thống (Host Profiling)

Chức năng OS::StartupLogic() của ChillyHell thực hiện hồ sơ máy chủ bằng cách liệt kê các tài khoản người dùng sử dụng dịch vụ thư mục. Nó cũng thu thập các biến môi trường quan trọng và thông tin về các tiến trình đang hoạt động.

• Liệt kê tài khoản người dùng thông qua dịch vụ thư mục.
• Thu thập các biến môi trường như $HOME, $PATH, và $SHELL.
• Thu thập thông tin tiến trình đang hoạt động bằng cả lệnh gọi API và lệnh shell.

Một truy vấn DNS chứa siêu dữ liệu từ máy chủ cũng được sử dụng cho mục đích điều khiển tác vụ. Mã độc tiếp tục xác thực ngữ cảnh người dùng mà nó đang hoạt động, bằng cách gọi cả các lệnh gọi hệ thống trực tiếp và các lệnh shell.

ps ax

Lệnh trên là một ví dụ về cách mã độc thu thập thông tin tiến trình trên hệ thống.

Cơ chế Duy trì Quyền Truy cập (Persistence)

Có lẽ điểm mạnh nhất của mã độc ChillyHell macOS là khả năng duy trì quyền truy cập linh hoạt, sử dụng ba phương pháp:

• Login Item: Đảm bảo mã độc chạy khi người dùng đăng nhập.
• LaunchAgent: Thiết lập một tác vụ chạy trong ngữ cảnh người dùng khi người dùng đăng nhập hoặc theo một sự kiện nhất định.
• LaunchDaemon: Cài đặt một dịch vụ chạy trong ngữ cảnh root, hoạt động độc lập với người dùng đăng nhập.

Sự kết hợp của ba phương pháp này giúp mã độc khó bị gỡ bỏ hoàn toàn.

Kỹ thuật Timestomping

Trong quá trình cài đặt, mã độc cũng sử dụng kỹ thuật “timestomping”. Nó thiết lập siêu dữ liệu về thời gian của các tệp và hiện vật của nó lùi về rất xa trong quá khứ, sử dụng các API cấp thấp và lệnh shell touch. Điều này giúp che giấu sự hiện diện và tuổi đời của phần mềm độc hại, làm cho việc phát hiện pháp y trở nên khó khăn hơn đáng kể.

Do cách thức hoạt động của macOS và hệ thống tệp APFS, việc điều chỉnh dấu thời gian sửa đổi có thể vô tình dẫn đến việc dấu thời gian tạo cũng bị lùi lại. Một ví dụ cơ bản về lệnh touch để thay đổi dấu thời gian là:

touch -a -m -t YYYYMMDDhhmm.ss /path/to/malware_file

Lệnh này có thể được sử dụng để giả mạo thời gian truy cập và sửa đổi của các tệp.

Thiết lập Kết nối Command and Control (C2)

ChillyHell thiết lập kết nối thông qua hàm TransportInit(). Đầu tiên, nó kiểm tra khả năng truy cập internet, sau đó duyệt qua một danh sách máy chủ C2 được mã hóa cứng. Quá trình này diễn ra qua cả giao thức DNS và HTTP. Sau khi thiết lập kết nối, vòng lặp điều khiển chính (mainCycle()) của mã độc liên tục truy xuất, loại bỏ các lệnh trùng lặp và thực thi các lệnh từ kẻ tấn công.

Hậu quả và Bài học An ninh mạng macOS

ChillyHell là một ví dụ điển hình về mối đe dọa mạng hiện đại nhắm vào macOS: mô-đun, duy trì quyền truy cập qua nhiều vector, và thành thạo trong việc hòa nhập thông qua notarization và timestomping. Việc mã độc này vẫn được notarized và có sẵn công khai trong nhiều năm nhấn mạnh những thách thức dai dẳng mà các nhà bảo vệ đối mặt trên macOS.

Sự linh hoạt được cung cấp bởi ba phương pháp duy trì quyền truy cập và kiến trúc mô-đun của nó làm tăng tiềm năng đe dọa. Đặc biệt là khi nó được kết hợp với khả năng đánh cắp thông tin đăng nhập và tấn công brute-force mật khẩu. Chiến dịch này là một lời nhắc nhở quan trọng rằng notarization một mình không phải là một đảm bảo an toàn, và các mối đe dọa dai dẳng, không ngừng phát triển tiếp tục nhắm mục tiêu vào các môi trường macOS.

Jamf Threat Labs đã ghi nhận Google Threat Intelligence và Apple vì những phản ứng nhanh chóng và nỗ lực thu hồi chứng chỉ. Tuy nhiên, sự cảnh giác hơn nữa là điều cần thiết khi những kẻ tấn công tiếp tục tinh chỉnh các phương pháp này. Để biết thêm chi tiết kỹ thuật về mã độc ChillyHell macOS, bạn có thể tham khảo báo cáo chuyên sâu từ Jamf Threat Labs tại Jamf Blog.