▲
- O malware ChillyHell infectou Macs com processadores Intel por até quatro anos sem ser detectado.
- Você deve estar atento à segurança do seu Mac e tomar medidas para evitar infecções e remover ameaças.
- Essa infecção coloca em risco informações pessoais, possibilitando controle remoto e ataques a dados sensíveis.
- A Apple revogou os certificados ligados ao malware, mas Macs já infectados ainda precisam de cuidados específicos para remoção.
Um novo tipo de Malware para Macs, conhecido como ChillyHell, pode ter se espalhado sem ser notado por até quatro anos em computadores da Apple. Identificado pela empresa de segurança cibernética Jamf, uma nova versão do vírus surgiu em maio, alertando para sua atividade contínua e aprimoramento constante. Sua distribuição começou em 2021, passando pela autenticação da Apple como um programa confiável.
Ações do Malware para Macs ChillyHell
Depois de se instalar em um dispositivo, o ChillyHell usa diversas estratégias para não ser descoberto. Uma delas é o timestomping, uma técnica que modifica as datas e horários dos arquivos criados. Isso faz com que os arquivos pareçam mais antigos do que realmente são, dificultando a identificação do momento exato da infecção e prolongando a sua permanência oculta no sistema.
Este agente malicioso também tem várias formas de continuar operando no computador. Ele pode se configurar para iniciar automaticamente sempre que o usuário faz o login, garantindo sua persistência. Outra tática é se mascarar como um software que executa tarefas de manutenção do sistema em segundo plano, o que o torna menos suspeito.
Para diminuir qualquer desconfiança do usuário, o ChillyHell pode abrir uma página do Google no navegador padrão enquanto se comunica com seus servidores de controle. Essa manobra disfarça a atividade maliciosa. Ao se conectar, o malware permite que invasores controlem o Mac remotamente, possibilitando ataques para quebrar as senhas do usuário e acessar informações sensíveis.
As formas de persistência do ChillyHell são variadas. Ele não só se inicia com o sistema, como também se integra em processos que parecem normais. Esse conjunto de táticas visa maximizar o tempo de atuação do malware antes de ser detectado por ferramentas de segurança comuns.
Descoberta e Revogação dos Certificados
A primeira vez que este vírus para macOS foi notado foi em 2023. A empresa Mandiant o identificou durante um ciberataque, atribuído ao grupo UNC4487, contra membros do governo da Ucrânia. Naquela ocasião, o malware foi usado para comprometer um site de seguros de automóveis que era utilizado por autoridades ucranianas, mostrando seu potencial destrutivo.
A Mandiant, no entanto, optou por manter os detalhes do ChillyHell em sigilo na época. Isso fez com que a comunidade de segurança não soubesse da sua existência, permitindo que o malware continuasse a agir silenciosamente, sem ser detectado por muitas ferramentas de segurança. A falta de informações públicas contribuiu para sua longevidade.
Somente agora a Apple tomou medidas mais firmes. A empresa sinalizou o ChillyHell como malware e cancelou os certificados de desenvolvedor que estavam associados a ele. Essa ação visa impedir novas distribuições e alertar os usuários sobre a ameaça. É um passo importante para conter a proliferação, mas não resolve o problema para quem já está infectado.
É importante notar que os Macs equipados com chips da própria Apple, como os modelos M1 ou M2 do MacBook Air, não são alvos deste malware. O ChillyHell foi especificamente projetado para Macs com processadores Intel, o que limita seu alcance aos modelos mais antigos ou aos que ainda utilizam essa arquitetura de hardware.
Manutenção da Segurança em Macs Infectados
A aprovação inicial do ChillyHell pelo sistema de verificação da Apple pode ter ocorrido devido à sua estrutura modular, que dividia suas cargas úteis em várias partes. Além disso, o software tinha uma assinatura de desenvolvedor válida e, aparentemente, não exibia comportamentos que fugissem do padrão, o que dificultou sua identificação pelas defesas automáticas da Apple.
Com a sinalização do ChillyHell pela Apple, a distribuição do malware para novos usuários fica mais difícil. No entanto, os computadores Mac que já foram infectados continuam vulneráveis. É fundamental que os proprietários desses dispositivos tomem atitudes para se protegerem, já que o problema não se resolve apenas com a revogação do certificado.
Para quem já está com o Mac infectado, a remoção do malware precisa ser feita manualmente. Isso geralmente envolve o uso de programas de segurança específicos e adequados para o sistema macOS. Buscar soluções de antivírus e ferramentas de remoção de malware confiáveis é um passo essencial para limpar o sistema.
A Apple oferece algumas dicas para diminuir os riscos de instalar programas maliciosos. A principal recomendação é baixar softwares apenas de fontes oficiais, como a App Store, e sempre verificar a procedência do desenvolvedor. Manter o sistema operacional atualizado também é crucial, pois as atualizações frequentemente incluem correções de segurança que protegem contra novas ameaças.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
