新たに発見されたmacOSマルウェア「ChillyHell」、ウクライナ政府を狙った攻撃や多様な持続性メカニズムでmacOSセキュリティを脅かす。

最近、macOSを標的とした新しいマルウェアが発見されました。このマルウェアは先進的なプロセス偵察技術を使用し、数年間にわたって公認の認証状態を維持していたことが判明しています。「ChillyHell」と名付けられたこのマルウェアは、Jamf Threat LabsによってVirusTotalで開発者署名付きのサンプルが発見されました。

ChillyHellは、ウクライナ政府関係者を狙ったキャンペーンで初めて発見されました。このマルウェアは、ウクライナの自動車保険ウェブサイトを通じてMATANBUCHUSマルウェアを配布しており、その後、他の悪意のある行為者にアクセス権が販売されたとされています。Mandiantの2023年の報告によれば、ウクライナの関係者に対する攻撃と関連しているとのことです。

ChillyHellはmacOS上で多様な方法で持続性を維持し、3つの持続性メカニズムを通じてユーザー権限レベルに応じて複数の方法でインストールされます。ユーザー権限で実行される場合はLaunchAgentとしてインストールされ、ログイン時に実行されます。システム権限で実行されるとLaunchDaemonとしてインストールされ、システムが起動するたびに実行されます。また、ユーザーシェルプロファイルを修正して、ターミナルセッションが始まるたびに実行されるようにします。

ChillyHellはリモートコントロールを通じてデータの盗難や追加ペイロードの配布、ユーザーアカウントの列挙などの悪意のある行為を行います。特に、ローカルパスワードのクラッキング機能により、感染したシステムのユーザーアカウントに対してブルートフォース攻撃を実行し、この過程で盗まれたユーザー名とパスワードを攻撃者に送信します。

ここ数年、macOSプラットフォームは主要な攻撃対象として浮上し、様々な脅威に直面しています。ChillyHellの活動は、macOSセキュリティの重要性を改めて思い起こさせます。特に、このマルウェアは公認の認証を受けている状態でも発見されにくいという点で、全てのマルウェアが署名されていない状態で現れるわけではないことを示しています。ユーザーはソフトウェアをインストールする際、その必要性と目的を明確に理解し、単にウェブサイトの要求に従って無分別にインストールしないよう注意が必要です。