Los investigadores de ciberseguridad han descubierto dos nuevas familias de malware, incluida una puerta trasera modular de Apple MacOS llamado Frío y un troyano de acercamiento remoto basado en Go (rata) afamado Zinorrat Eso puede apuntar a los sistemas Windows y Linux.
Según un investigación de Jamf Amenazing Labs, ChillyHell está escrito en C ++ y se desarrolla para las arquitecturas Intel.
Chillyhell es el nombre asignado a un malware atribuido a un clúster de amenaza no categorizado denominado UNC4487. Se evalúa que el comunidad de piratería ha estado activo desde al menos octubre de 2022.
Según la inteligencia de amenazas compartida por Google Mandiant, UNC4487 es un supuesto actor de espionaje que se ha observado que compromete los sitios web de las entidades del gobierno ucraniano para redirigir e ingeniería social para ejecutar Matanbuchus o malware Chillyhell.
La compañía de encargo de dispositivos de Apple dijo que descubrió una nueva muestra de ChillyHell cargada en la plataforma de escaneo de malware virustotal el 2 de mayo de 2025. Se dice que el artefacto, notariado por Apple en 2021, se alojó públicamente en Dropbox desde entonces. Desde entonces, Apple ha revocado los certificados de desarrolladores vinculados al malware.
Una vez ejecutado, el malware perfila ampliamente el host comprometido y establece la persistencia utilizando tres métodos diferentes, posteriormente de los cuales inicializa la comunicación de comando y control (C2) con un servidor codificado (93.88.75 (.) 252 o 148.72.172 (.) 53) sobre HTTP o DNS, y entra en un onda de comando para acoger más instrucciones de sus operadores.
Para configurar la persistencia, ChillyHell se instala como un tiro de AGEN o un sistema de tiro del sistema. Como mecanismo de respaldo, altera el perfil de shell del agraciado (.zshrc, .bash_profile o .profile) para inyectar un comando de tiro en el archivo de configuración.
Una táctica trascendente adoptada por el malware es su uso de tiempo de tiempo para modificar las marcas de tiempo de los artefactos creados para evitar elevar las banderas rojas.
“Si no tiene un permiso suficiente para renovar las marcas de tiempo mediante una citación del sistema directo, recurrirá al uso de comandos de shell touch -c -a -t y touch -c -m -t respectivamente, cada uno con una esclavitud formateada que representa una plazo del pasado como argumento incluido al final del comando”, los investigadores de Jamf Ferdous Saljooki y Maggie Zirnhelt.
ChillyHell admite una amplia grado de comandos que le permiten iniciar un shell inverso a la dirección IP C2, descargar una nueva traducción del malware, obtener cargas enseres adicionales, ejecutar un módulo con nombre de módulo de módulo para enumerar las cuentas de los usuarios de “/etc/passwd” y realizar ataques de fuerza bruta utilizando una serie de contraseña predefinida retrate del servidor C2.
“Entre sus múltiples mecanismos de persistencia, la capacidad de comunicarse sobre diferentes protocolos y estructura modular, Chillyhell es extraordinariamente flexible”, dijo Jamf. “Las capacidades como el tiempo de tiempo y el agrietamiento de la contraseña hacen que esta muestra sea un hallazgo inusual en el panorama de amenazas de macOS coetáneo”.
“En particular, ChillyHell fue notariado y sirve como un recordatorio importante de que no todo el código receloso no se firma”.
Los hallazgos encajan con el descubrimiento de Zynorrat, una rata que utiliza un bot de telegrama llamado @lraterrorsbot (incluso conocido como LRAT) para Commandoer Infected Windows y Linux Hosts. La evidencia muestra que el malware se presentó por primera vez a Virustotal el 8 de julio de 2025. No comparte superposiciones con otras familias de malware conocidas.
Compilado con GO, la traducción de Linux admite una amplia grado de funciones para habilitar la exfiltración de archivos, la enumeración del sistema, la captura de captura de pantalla, la persistencia a través de los servicios Systemd y la ejecución de comandos arbitrarios –
- /fs_list, para enumerar los directorios
- /fs_get, para exfiltrar archivos desde el host
- /Métricas, para realizar el perfil del sistema
- /proc_list, para ejecutar el comando “PS” Linux
- /proc_kill, para matar un proceso específico al advenir el PID como entrada
- /Capture_Display, para tomar capturas de pantalla
- /Persistir, establecer la persistencia
La traducción de Windows de Zynorrat es casi idéntica a su contraparte de Linux, al tiempo que recurre a los mecanismos de persistencia basados en Linux. Esto probablemente indica que el mejora de la transformación de Windows es un trabajo en progreso.
“Su objetivo principal es servir como una utensilio de colección, exfiltración y acercamiento remoto, que se gestiona centralmente a través de un bot de telegrama”, dijo la investigadora de Sysdig, Alessandra Rizzo. “Telegram sirve como la infraestructura C2 principal a través de la cual el malware recibe más comandos una vez desplegados en una máquina víctima”.
Un investigación posterior de las capturas de pantalla filtradas a través del bot del telegrama ha revelado que las cargas enseres se distribuyen a través de un servicio de intercambio de archivos conocido como dosya.co, y que el autor de malware puede acontecer “infectado” sus propias máquinas para probar la funcionalidad.
Se cree que Zynorrat es obra de un actor solitario que posiblemente de origen turco, entregado el habla utilizado en los chats de telegrama.
“Aunque el ecosistema de malware no tiene escasez de ratas, los desarrolladores de malware aún dedican su tiempo a crearlas desde cero”, dijo Rizzo. “La personalización de Zynorrat y los controles automatizados subrayan la sofisticación en crecimiento del malware reciente, incluso adentro de sus primeras etapas”.
