LightSpy Spyware

كشف محللون أمنيون أن برنامج التجسس LightSpy، الذي كان يُعتقد في البداية أنه يستهدف مستخدمي Apple iOS، هو نسخة غير موثقة من البرنامج الضار لنظام التشغيل MacOS. تنبع هذه الأفكار من متخصصي الأمن السيبراني الذين قاموا بفحص الآثار المرتبطة بهذا التهديد عبر الأنظمة الأساسية. من المحتمل أن يكون لدى إطار عمل البرامج الضارة القدرة على إصابة مجموعة واسعة من الأنظمة، بما في ذلك Android وiOS وWindows وmacOS وLinux، بالإضافة إلى أجهزة التوجيه المصنعة بواسطة NETGEAR وLinksys وASUS.

يستغل مجرمو الإنترنت الثغرات الأمنية لإصابة الأجهزة باستخدام LightSpy

استفادت مجموعة التهديد من اثنتين من برمجيات الاستغلال المتاحة للعامة (CVE-2018-4233، CVE-2018-4404) لنشر عمليات الزرع على نظام التشغيل macOS، مع احتمال أن يكون جزء من CVE-2018-4404 ناشئًا من إطار عمل Metasploit. واستهدفت عمليات الاستغلال الإصدار 10 من نظام التشغيل MacOS.

تم الإبلاغ عن LightSpy في البداية في عام 2020، ومنذ ذلك الحين تم ربطه بأداة مراقبة تعمل بنظام Android تسمى DragonEgg.

في أبريل 2024، كشف الباحثون عن حملة تجسس إلكترونية "متجددة" تستهدف المستخدمين في جنوب آسيا، وكان يُعتقد في البداية أنها تقدم إصدار iOS من LightSpy. ومع ذلك، فقد تم اكتشاف أنه إصدار أكثر تطورًا لنظام التشغيل MacOS يستخدم نظامًا قائمًا على المكونات الإضافية لجمع أنواع مختلفة من المعلومات.

سلسلة الهجوم لحملة LightSpy

يشير التحليل إلى أن متغير macOS تم تشغيله في البرية منذ يناير 2024 على الأقل، ويستهدف ما يقرب من 20 جهازًا، يُعتقد أن معظمها عبارة عن أجهزة اختبار.

يبدأ تسلسل الهجوم باستغلال CVE-2018-4233، وهي ثغرة أمنية في Safari WebKit، من خلال تهديد صفحات HTML، مما يؤدي إلى تنفيذ التعليمات البرمجية. يؤدي هذا إلى نشر ملف Mach-O ثنائي 64 بت متنكر في صورة ملف PNG.

وتتمثل الوظيفة الرئيسية للثنائي في استخراج وتنفيذ برنامج شل النصي، والذي يقوم بعد ذلك باسترداد ثلاث حمولات إضافية: استغلال تصعيد الامتيازات، وأداة التشفير/فك التشفير، وأرشيف ZIP.

بعد ذلك، يقوم البرنامج النصي بفك ضغط أرشيف ZIP، الذي يحتوي على ملفات "update" و"update.plist"، ويعين امتيازات الجذر لكليهما. يضمن ملف "plist" الثبات، مما يضمن تشغيل الملف الآخر بعد كل إعادة تشغيل للنظام.

تسمح المكونات الإضافية الضارة لمجرمي الإنترنت بالتقاط العديد من البيانات

يعمل ملف "التحديث"، المعروف أيضًا باسم macircloader، كمحمل لمكون LightSpy الأساسي. يتيح هذا المكون الاتصال بخادم الأوامر والتحكم (C2)، مما يسمح باسترجاع الأوامر وتنزيلات المكونات الإضافية.

يدعم إصدار macOS 10 مكونات إضافية مختلفة، مما يتيح وظائف مختلفة مثل التقاط الصوت من الميكروفون، والتقاط الصور، وتسجيل نشاط الشاشة، وجمع الملفات وحذفها، وتنفيذ أوامر shell، واسترداد قوائم التطبيقات المثبتة والعمليات قيد التشغيل، واستخراج البيانات من متصفحات الويب (Safari وGoogle Chrome) وiCloud Keychain.

بالإضافة إلى ذلك، يعمل مكونان إضافيان آخران على تسهيل جمع المعلومات حول الأجهزة الأخرى التي تنتمي إلى نفس الشبكة، وإدراج شبكات Wi-Fi التي يتصل بها الجهاز وتوفير تفاصيل حول شبكات Wi-Fi القريبة.

وبغض النظر عن المنصة المستهدفة، كان الهدف الأساسي لمجموعة التهديد هو اعتراض اتصالات الضحايا، بما في ذلك محادثات المراسلة والتسجيلات الصوتية. تم تطوير مكون إضافي مخصص لنظام التشغيل macOS خصيصًا لاكتشاف الشبكة، بهدف تحديد الأجهزة القريبة من موقع الضحية.