Code Nguyen
Writer
Bạn có tin rằng một phần mềm độc hại có thể “ngủ yên” trong máy tính suốt 4 năm, vẫn qua mặt được cả hệ thống bảo mật của Apple?
Điều gây sốc là dù đã có cảnh báo, ChillyHell vẫn lọt qua hệ thống xác thực của Apple. Thậm chí vào năm 2021, nó được nhà phát triển ký số, được Apple công chứng như một ứng dụng hợp pháp. Nghĩa là trong suốt 4 năm, một backdoor nguy hiểm có thể đã lặng lẽ tồn tại trên nhiều thiết bị, không ai nhận ra.
Tệ hơn nữa, file chứa mã độc này từng được lưu công khai trên Dropbox từ năm 2021, nghĩa là khả năng lây nhiễm âm thầm trong cộng đồng là hoàn toàn có thật.
Ngoài ra, ChillyHell còn khéo léo “ngụy trang” bằng cách sửa dấu thời gian của file độc hại sao cho giống file hợp pháp, một kỹ thuật hiếm gặp trên macOS. Nó có thể đổi liên tục giao thức điều khiển, khó bị phát hiện và ngăn chặn.
Thiết kế dạng mô-đun cho phép kẻ tấn công cài thêm chức năng mới, tải phiên bản cập nhật, thả thêm payload, đánh cắp thông tin tài khoản và thậm chí mở rộng thành các cuộc tấn công brute force vào hệ thống khác.
Các nhà nghiên cứu nhận định, với tính linh hoạt và khả năng “qua mặt” cả cơ chế công chứng, ChillyHell là lời nhắc quan trọng rằng không phải phần mềm nào được ký số cũng an toàn tuyệt đối.
Nếu ngay cả Apple với quy trình kiểm duyệt chặt chẽ còn có kẽ hở như vậy, câu hỏi đặt ra là: chúng ta, những người dùng cá nhân ở Việt Nam, liệu đã quá yên tâm vào chiếc “mác an toàn” của phần mềm chưa?
Nguồn bài viết: https://www.theregister.com/2025/09/10/chillyhell_modular_macos_malware/
Một cánh cửa bí mật bị bỏ quên
ChillyHell là tên của phần mềm độc hại được phát hiện mới đây, vốn nhắm vào macOS. Nó không phải loại mã độc mới tinh, mà từng được Mandiant báo cáo vào năm 2023 và gắn cho cái tên UNC4487, một nhóm tội phạm mạng chưa rõ danh tính. Thời điểm đó, họ tìm thấy dấu vết tại một trang web bảo hiểm ô tô ở Ukraine, nơi quan chức chính phủ sử dụng cho công tác.
Tệ hơn nữa, file chứa mã độc này từng được lưu công khai trên Dropbox từ năm 2021, nghĩa là khả năng lây nhiễm âm thầm trong cộng đồng là hoàn toàn có thật.
Vì sao ChillyHell nguy hiểm
Điểm khiến ChillyHell đáng sợ nằm ở cơ chế tồn tại nhiều tầng. Nó có thể cài mình như LaunchAgent nếu chỉ có quyền người dùng, hoặc thành LaunchDaemon khi có quyền cao hơn. Nếu cả hai cách trên bị chặn, nó vẫn tìm đường sống bằng cách chỉnh sửa các tệp cấu hình shell, để đảm bảo luôn khởi chạy khi người dùng mở terminal.Ngoài ra, ChillyHell còn khéo léo “ngụy trang” bằng cách sửa dấu thời gian của file độc hại sao cho giống file hợp pháp, một kỹ thuật hiếm gặp trên macOS. Nó có thể đổi liên tục giao thức điều khiển, khó bị phát hiện và ngăn chặn.
Thiết kế dạng mô-đun cho phép kẻ tấn công cài thêm chức năng mới, tải phiên bản cập nhật, thả thêm payload, đánh cắp thông tin tài khoản và thậm chí mở rộng thành các cuộc tấn công brute force vào hệ thống khác.
Các nhà nghiên cứu nhận định, với tính linh hoạt và khả năng “qua mặt” cả cơ chế công chứng, ChillyHell là lời nhắc quan trọng rằng không phải phần mềm nào được ký số cũng an toàn tuyệt đối.
Nếu ngay cả Apple với quy trình kiểm duyệt chặt chẽ còn có kẽ hở như vậy, câu hỏi đặt ra là: chúng ta, những người dùng cá nhân ở Việt Nam, liệu đã quá yên tâm vào chiếc “mác an toàn” của phần mềm chưa?
Nguồn bài viết: https://www.theregister.com/2025/09/10/chillyhell_modular_macos_malware/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
