Un nouveau rapport de JAMF Threat Labs révèle que les logiciels malveillants Chillyhell restent actifs contre les systèmes macOS. Découvert pour la première fois en 2021 et rapporté en privé par la société de cybersécurité Mandiant en 2023, cette menace persistante ne montre aucun signe d’arrêt. Les chercheurs de JAMF ont trouvé un nouveau échantillon sur Virustotal en mai 2024, confirmant le fonctionnement continu du malware.
Comment Chillyhell vole les données d’utilisateur Mac
Chillyhell cible des informations sensibles sur les ordinateurs Mac infectés, en se concentrant spécifiquement sur les noms d’utilisateur et les mots de passe. Le malware utilise des méthodes sophistiquées pour éviter la détection par les logiciels de sécurité et les chercheurs.
Les techniques d’évasion avancées rendent la détection difficile
Le malware utilise deux tactiques clés pour rester cachés:
- TimestOMping – modifie les dates de création de fichiers et de modification pour masquer l’activité malveillante
- Protocole de commande et de contrôle dynamique – modifie les méthodes de communication pour éviter la surveillance du réseau
Ces techniques d’évasion permettent à Chillyhell de fonctionner non détecté pendant de longues périodes, ce qui rend le suivi et le retrait difficile pour les équipes de sécurité.
La révocation du certificat du développeur limite la distribution future
L’enquête de Jamf a révélé qu’Apple avait révoqué les certificats de développeur liés à Chillyhell. Cette révocation empêche les nouvelles versions d’être facilement distribuées mais ne supprime pas les infections existantes des systèmes compromis. Les utilisateurs de Mac doivent maintenir les logiciels de sécurité mis à jour et faire preuve de prudence lors du téléchargement des applications à partir de sources non fiables. La campagne Chillyhell démontre que le macOS reste une cible pour les opérations sophistiquées de logiciels malveillants.
