Malwares CHILLYHELL e ZynorRAT miram sistemas macOS, Windows e Linux

Pesquisadores alertam para a descoberta de duas novas famílias de malware que representam uma séria ameaça a diferentes sistemas operacionais. Trata-se do CHILLYHELL, um backdoor modular projetado para macOS, e do ZynorRAT, um Trojan de Acesso Remoto (RAT) baseado em Go, capaz de infectar máquinas Windows e Linux. As novas descobertas sublinham a crescente sofisticação dos ataques cibernéticos e a necessidade de vigilância constante.

CHILLYHELL: O Backdoor no macOS

O CHILLYHELL é um malware desenvolvido em C++ para arquiteturas Intel, atribuído a um grupo hacker não categorizado, denominado UNC4487, que estaria ativo desde pelo menos outubro de 2022. De acordo com a análise da Jamf Threat Labs, o UNC4487 é suspeito de ser um grupo de espionagem que tem comprometido sites governamentais ucranianos para redirecionar e aplicar engenharia social em alvos, com o objetivo de instalar o Matanbuchus ou o próprio CHILLYHELL.

Uma nova amostra do CHILLYHELL foi encontrada em 2 de maio de 2025, carregada na plataforma VirusTotal. Notavelmente, essa amostra foi autenticada pela Apple em 2021 e estava hospedada publicamente no Dropbox. A Apple já revogou os certificados de desenvolvedor vinculados ao malware, mas a existência de um artefato autenticado ressalta que nem todo código malicioso é não assinado.

Uma vez executado, o CHILLYHELL cria um perfil detalhado do sistema comprometido e estabelece persistência por meio de três métodos distintos, incluindo a instalação como LaunchAgent ou LaunchDaemon do sistema e a alteração de perfis de shell (como .zshrc ou .bash_profile). O malware então estabelece comunicação de comando e controle (C2) com servidores codificados, recebendo instruções dos invasores.

Uma tática sofisticada empregada pelo CHILLYHELL é o "timestomping", que modifica os carimbos de data/hora dos arquivos criados para evitar detecção.

O CHILLYHELL possui uma ampla gama de comandos, permitindo que os hackers iniciem um shell reverso, baixem novas versões do malware, busquem payloads adicionais, enumerem contas de usuário e conduzam ataques de força bruta. Sua flexibilidade e recursos avançados, como a quebra de senhas, o tornam uma ameaça incomum e significativa para o ecossistema macOS.

ZynorRAT: O RAT Multiplataforma Controlado pelo Telegram

Simultaneamente à descoberta do CHILLYHELL, pesquisadores da Sysdig identificaram o ZynorRAT, um Trojan de Acesso Remoto que utiliza um bot do Telegram (@lraterrorsbot) como infraestrutura de comando e controle para gerenciar hosts Windows e Linux infectados. A primeira evidência do ZynorRAT no VirusTotal data de 8 de julho de 2025, e o malware não apresenta sobreposição com outras famílias conhecidas.

Compilado em Go, o ZynorRAT suporta diversas funções, como exfiltração de arquivos, enumeração do sistema, captura de tela, persistência via serviços systemd (no Linux) e execução de comandos arbitrários. A versão para Windows é quase idêntica à de Linux, embora ainda utilize mecanismos de persistência baseados em Linux, indicando que seu desenvolvimento pode estar em andamento.

Alessandra Rizzo, pesquisadora da Sysdig, explica que o Telegram serve como o principal canal C2, por onde o malware recebe comandos adicionais após ser implantado. Capturas de tela vazadas do bot do Telegram revelaram que os payloads são distribuídos por meio do serviço de compartilhamento de arquivos Dosya.co.

Acredita-se que o ZynorRAT seja obra de um único hacker, possivelmente de origem turca, dada a linguagem utilizada nos chats.

O ZynorRAT, mesmo em seus estágios iniciais, demonstra a crescente sofisticação e personalização de malwares modernos, evidenciando a persistência de desenvolvedores em criar ferramentas de acesso remoto do zero.

Via - THN