Pesquisadores de cybersecurity identificaram duas novas famílias de malware, incluindo um backdoor modular para Apple macOS chamado CHILLYHELL e um trojan de acesso remoto (RAT) desenvolvido em Go, denominado ZynorRAT, que pode infectar sistemas Windows e Linux.
De acordo com uma análise do Jamf Threat Labs, o CHILLYHELL é escrito em C++ e desenvolvido para arquiteturas Intel.
O nome CHILLYHELL foi atribuído a esse malware, que está ligado a um cluster de ameaças não categorizado, chamado UNC4487.
Acredita-se que esse grupo de hackers esteja ativo desde pelo menos outubro de 2022.
Segundo uma inteligência de ameaças compartilhada pela Google Mandiant, o UNC4487 é um ator suspeito de espionagem, que tem sido observado comprometendo sites de entidades governamentais ucranianas para redirecionar e aplicar engenharia social em alvos, induzindo-os a executar os malwares Matanbuchus ou CHILLYHELL.
A empresa de gerenciamento de dispositivos Apple informou que descobriu uma nova amostra do CHILLYHELL enviada para a plataforma de análise de malware VirusTotal em 2 de maio de 2025.
O artefato, notarizado pela Apple em 2021, estaria hospedado publicamente no Dropbox desde então.
A Apple revogou os certificados de desenvolvedor associados a esse malware.
Após ser executado, o malware realiza um amplo perfil do host comprometido e estabelece persistência usando três métodos diferentes.
Em seguida, inicia a comunicação de command-and-control (C2) com um servidor hard-coded (93.88.75[.]252 ou 148.72.172[.]53) via HTTP ou DNS, entrando em um loop de comandos para receber novas instruções dos operadores.
Para garantir persistência, o CHILLYHELL se instala como um LaunchAgent ou um LaunchDaemon do sistema.
Como mecanismo de backup, ele modifica o perfil do shell do usuário (.zshrc, .bash_profile ou .profile) para injetar um comando de inicialização no arquivo de configuração.
Uma tática notável usada pelo malware é o timestomping, que altera os timestamps dos artefatos criados para evitar suspeitas.
“Se não possuir permissão suficiente para atualizar os timestamps por meio de uma chamada direta ao sistema, ele usa comandos shell touch -c -a -t e touch -c -m -t, respectivamente, cada um com uma string formatada representando uma data passada, incluída no final do comando,” explicaram os pesquisadores Ferdous Saljooki e Maggie Zirnhelt, do Jamf.
O CHILLYHELL oferece uma ampla gama de comandos que permitem lançar um reverse shell para o IP do C2, fazer download de uma nova versão do malware, buscar payloads adicionais, executar um módulo chamado ModuleSUBF para enumerar contas de usuário a partir do arquivo "/etc/passwd", e realizar ataques de brute-force usando uma lista de senhas pré-definida recuperada do servidor C2.
“Entre seus múltiplos mecanismos de persistência, capacidade de comunicação por diferentes protocolos e estrutura modular, o CHILLYHELL é extremamente flexível,” afirmou o Jamf.
Funcionalidades como timestomping e quebra de senhas tornam essa amostra uma descoberta incomum no cenário atual de ameaças para macOS.
Notavelmente, o CHILLYHELL foi notarizado, o que é um lembrete importante de que nem todo código malicioso é executado sem assinatura.
Essas descobertas coincidem com a identificação do ZynorRAT, um RAT que utiliza um bot do Telegram chamado @lraterrorsbot (também conhecido como lrat) para controlar hosts infectados em Windows e Linux.
Evidências indicam que o malware foi submetido pela primeira vez ao VirusTotal em 8 de julho de 2025, e não apresenta conexões com outras famílias conhecidas de malware.
Compilada em Go, a versão para Linux oferece uma ampla gama de funções, incluindo exfiltração de arquivos, enumeração do sistema, captura de screenshots, persistência via serviços systemd e execução arbitrária de comandos, como:
- /fs_list: para enumerar diretórios
- /fs_get: para exfiltrar arquivos do host
- /metrics: para realizar profiling do sistema
- /proc_list: para executar o comando Linux "ps"
- /proc_kill: para encerrar um processo específico passando o PID como argumento
- /capture_display: para capturar screenshots
- /persist: para estabelecer persistência
A versão para Windows do ZynorRAT é praticamente idêntica à sua versão para Linux, embora ainda utilize mecanismos de persistência típicos do Linux, o que indica que a variante para Windows pode estar ainda em desenvolvimento.
“O principal propósito desse malware é funcionar como uma ferramenta de coleta, exfiltração e acesso remoto, gerenciada centralmente via um bot do Telegram,” afirmou a pesquisadora Alessandra Rizzo, da Sysdig.
“O Telegram serve como a principal infraestrutura de C2, por onde o malware recebe comandos adicionais após ser instalado na máquina da vítima.”
Análises adicionais de screenshots vazadas pelo bot no Telegram revelaram que os payloads são distribuídos através de um serviço de compartilhamento de arquivos chamado Dosya.co, e que o autor do malware pode ter infectado suas próprias máquinas para testar a funcionalidade.
Acredita-se que o ZynorRAT seja obra de um ator solitário, possivelmente de origem turca, considerando o idioma usado nas conversas no Telegram.
“Embora o ecossistema de malware não careça de RATs, desenvolvedores continuam investindo tempo para criar esses malwares do zero,” afirmou Rizzo.
“A customização e o controle automatizado do ZynorRAT destacam a crescente sofisticação dos malwares modernos, mesmo em seus estágios iniciais.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...