Découvert sous le nom de CHILLYHELL, ce malware a pu circuler avec un certificat Apple valide. Résultat : même les utilisateurs les plus prudents pouvaient l’installer sans soupçonner qu’il s’agissait d’un logiciel espion.
Un backdoor qui se cache derrière un certificat Apple
Deux nouvelles menaces viennent d’être repérées : ZynorRAT, qui cible Windows et Linux, et surtout CHILLYHELL, un backdoor conçu pour macOS. Attribué à un groupe d’espionnage actif depuis 2022, il a été découvert ce printemps sur VirusTotal. Ce qui inquiète les chercheurs, c’est qu’il était notarisé par Apple, lui donnant l’apparence d’une application sûre, et qu’il a pu circuler discrètement via des services en ligne comme Dropbox.
Que peut faire CHILLYHELL sur un Mac ?
Une fois installé, le malware collecte tout ce qui peut aider l’attaquant à comprendre l’environnement et à préparer la suite de l’opération. CHILLYHELL met en place plusieurs mécanismes pour assurer sa persistance. Il peut s’ajouter aux LaunchAgents ou aux LaunchDaemons de macOS, afin de se relancer automatiquement à chaque démarrage ou ouverture de session.
En parallèle, le malware établit une communication régulière avec un serveur distant contrôlé par ses auteurs. C’est ce qu’on appelle un serveur de “Command and Control” : il reçoit des ordres, envoie des données. L’attaquant peut donc piloter l’ordinateur infecté à distance, presque comme s’il était assis devant l’écran.
CHILLYHELL déploie aussi des techniques d’évasion, par exemple en manipulant les horodatages des fichiers qu’il installe. Cette méthode, appelée “timestomping”, rend beaucoup plus difficile la détection manuelle ou l’analyse forensique, puisqu’un fichier malveillant peut sembler bien plus ancien — ou au contraire plus récent — qu’il ne l’est en réalité. Enfin, le malware embarque un module capable de forcer des mots de passe par bruteforce, en testant des combinaisons issues de dictionnaires sur les comptes présents dans le système. Avec un mot de passe faible, la partie est vite perdue.
quelles victimes et quelles conséquences ?
CHILLYHELL n’est pas un virus de masse : il vise surtout des cibles stratégiques dans des campagnes d’espionnage. Mais le simple fait qu’un tel malware existe sur macOS montre que la plateforme est désormais une cible sérieuse. Pour un utilisateur infecté, les conséquences sont lourdes : vol de données, espionnage à distance, voire transformation du Mac en point d’attaque contre d’autres machines.
comment se protéger sur macOS ?
Le meilleur réflexe est de rester vigilant, même sur Mac. Ne faites pas confiance aveuglément aux apps notarized par Apple. Utilisez des mots de passe robustes et uniques, évitez d’être toujours connecté en administrateur et surveillez vos réglages de démarrage pour repérer d’éventuels intrus. Et, bien sûr, gardez macOS et vos logiciels à jour, idéalement en les combinant avec un outil de sécurité fiable.
