Шпионски софтуер LightSpy
Анализаторите по сигурността разкриха, че шпионският софтуер LightSpy, за който първоначално се смяташе, че е насочен към потребителите на Apple iOS, е недокументиран macOS вариант на зловреден софтуер. Тези прозрения произтичат от специалисти по киберсигурност, които изследваха следите, свързани с тази междуплатформена заплаха. Рамката на зловреден софтуер вероятно има потенциала да зарази широк набор от системи, включително Android, iOS, Windows, macOS и Linux, както и рутери, произведени от NETGEAR, Linksys и ASUS.
Съдържание
Киберпрестъпниците използват уязвимости, за да заразят устройства с LightSpy
Групата за заплахи използва два публично достъпни експлойта (CVE-2018-4233, CVE-2018-4404), за да внедри импланти в macOS, като част от CVE-2018-4404 потенциално произхожда от рамката Metasploit. Експлойтите бяха насочени към macOS версия 10.
Първоначално съобщено през 2020 г., LightSpy оттогава е свързано с инструмент за наблюдение на Android, наречен DragonEgg.
През април 2024 г. изследователите разкриха „подновена“ кампания за кибершпионаж, насочена към потребители в Южна Азия, за която първоначално се смяташе, че доставя iOS версия на LightSpy. Въпреки това беше открито, че това е по-сложен вариант на macOS, използващ система, базирана на плъгини, за събиране на различни видове информация.
Верига от атаки на кампанията LightSpy
Анализът показва, че вариантът на macOS работи в дивата природа поне от януари 2024 г., насочен към приблизително 20 устройства, повечето от които се смятат за тестови устройства.
Последователността на атаката започва с експлоатацията на CVE-2018-4233, уязвимост на Safari WebKit, чрез заплашителни HTML страници, задействайки изпълнение на код. Това води до внедряването на 64-битов Mach-O двоичен файл, маскиран като PNG файл с изображение.
Основната функция на двоичния файл е да извлече и изпълни шел скрипт, който след това извлича три допълнителни полезни товара: експлойт за ескалиране на привилегии, инструмент за криптиране/декриптиране и ZIP архив.
След това скриптът разопакова ZIP архива, съдържащ файловете 'update' и 'update.plist', и присвоява root привилегии и на двата. Файлът 'plist' гарантира постоянство, като гарантира, че другият файл се стартира след всяко рестартиране на системата.
Вредните добавки позволяват на киберпрестъпниците да прихващат множество данни
Файлът „актуализация“, известен също като macircloader, служи като зареждащ компонент за компонента LightSpy Core. Този компонент позволява комуникация със сървър за командване и управление (C2), позволявайки извличане на команди и изтегляне на добавки.
Версията за macOS поддържа 10 различни плъгина, позволяващи различни функции като заснемане на звук от микрофона, правене на снимки, записване на активност на екрана, събиране и изтриване на файлове, изпълнение на команди на shell, извличане на списъци с инсталирани приложения и работещи процеси и извличане на данни от уеб браузъри (Safari и Google Chrome) и iCloud Keychain.
Освен това два други плъгина улесняват събирането на информация за други устройства, принадлежащи към същата мрежа, изброявайки Wi-Fi мрежите, към които устройството е свързано, и предоставяйки подробности за близките Wi-Fi мрежи.
Независимо от платформата, към която е насочена, основната цел на групата за заплаха е да прихваща комуникациите на жертвите, включително разговори с месинджъри и гласови записи. Специален плъгин за macOS е разработен специално за откриване на мрежа, с цел идентифициране на устройства в близост до местоположението на жертвата.
