ChillyHell est un backdoor modulaire ciblant macOS, diffusé via des applications malicieuses. Il exploite des mécanismes avancés de persistance tels que « LaunchAgents et LaunchDaemons » intégrés au système d'exploitation qui permettent d’exécuter automatiquement des programmes ou des scripts, souvent utilisés pour la gestion des services en arrière-plan, mais aussi abusés par les malwares pour assurer leur persistance. Les attaquants créent des fichiers de configuration « .plist » pointant vers leur binaire malveillant. Ainsi, à chaque démarrage de l’ordinateur ou connexion d’utilisateur, le malware est relancé automatiquement, pour communique avec des serveurs de commande et contrôle (C2) et garantir une persistance discrète.  Une fois installé, il permet l’exécution de commandes arbitraires, le vol d’identifiants, des attaques de type force brute et l’installation de modules additionnels, ouvrant ainsi la voie à une compromission complète de l’environnement macOS. 

Pour se protéger, il est recommandé de vérifier la présence des fichiers et chemins suspects listés dans les IoC, de surveiller toute communication réseau sortante vers les adresses IP C2 connues, de supprimer immédiatement les binaires infectés et de réinstaller uniquement depuis des sources fiables. Il est également conseillé d’appliquer des politiques EDR/antivirus renforcées et de mettre en place une supervision continue des environnements macOS pour détecter rapidement toute activité anormale.

La DGSSI recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT/DGSSI en cas de détection d’une activité relative à ce malware.

Indicateurs de compromission (IOCs):

Hashs : 

Ip : 

Path : 

Annexe  

• https://www.jamf.com/blog/chillyhell-a-modular-macos-backdoor/?nav=1