Programari espia LightSpy
Els analistes de seguretat han revelat que el programari espia LightSpy, inicialment pensat per dirigir-se als usuaris d'Apple iOS, és una variant de macOS no documentada del programari maliciós. Aquests coneixements provenen d'especialistes en ciberseguretat que van examinar els rastres relacionats amb aquesta amenaça multiplataforma. El marc de programari maliciós probablement té el potencial d'infectar una àmplia gamma de sistemes, inclosos Android, iOS, Windows, macOS i Linux, així com encaminadors fabricats per NETGEAR, Linksys i ASUS.
Taula de continguts
Els cibercriminals exploten les vulnerabilitats per infectar dispositius amb LightSpy
El grup d'actors d'amenaça va aprofitar dues explotacions disponibles públicament (CVE-2018-4233, CVE-2018-4404) per desplegar implants a macOS, amb part de CVE-2018-4404 potencialment originada del marc Metasploit. Els exploits van dirigir la versió 10 de macOS.
Inicialment informat el 2020, LightSpy s'ha relacionat des d'aleshores amb una eina de vigilància d'Android anomenada DragonEgg.
L'abril de 2024, els investigadors van divulgar una campanya d'espionatge cibernètic "renovada" dirigida als usuaris del sud d'Àsia, que inicialment es creia que oferia una versió iOS de LightSpy. Tanmateix, s'ha descobert que és una variant de macOS més sofisticada que utilitza un sistema basat en complements per recollir diversos tipus d'informació.
Cadena d’atac de la campanya LightSpy
L'anàlisi indica que la variant de macOS ha estat operativa en estat salvatge des d'almenys el gener de 2024, dirigida a uns 20 dispositius, la majoria dels quals es creu que són dispositius de prova.
La seqüència d'atac s'inicia amb l'explotació de CVE-2018-4233, una vulnerabilitat de Safari WebKit, mitjançant pàgines HTML amenaçadores, desencadenant l'execució de codi. Això condueix al desplegament d'un binari Mach-O de 64 bits disfressat com a fitxer d'imatge PNG.
La funció principal del binari és extreure i executar un script d'intèrpret d'ordres, que després recupera tres càrregues útils addicionals: una explotació d'escalada de privilegis, una eina de xifratge/desxifrat i un arxiu ZIP.
Després d'això, l'script desempaqueta l'arxiu ZIP, que conté fitxers "update" i "update.plist", i assigna privilegis d'arrel a tots dos. El fitxer 'plist' garanteix la persistència, assegurant que l'altre fitxer s'inicia després de cada reinici del sistema.
Els connectors nocius permeten als cibercriminals capturar nombroses dades
El fitxer "actualització", també conegut com a macircloader, serveix com a carregador per al component LightSpy Core. Aquest component permet la comunicació amb un servidor d'ordres i control (C2), permetent la recuperació d'ordres i descàrregues de connectors.
La versió de macOS admet 10 connectors diferents, que permeten diverses funcionalitats com ara la captura d'àudio des del micròfon, la presa de fotos, la gravació de l'activitat de la pantalla, la recollida i la supressió de fitxers, l'execució d'ordres de l'intèrpret d'ordres, la recuperació de llistes d'aplicacions instal·lades i processos en execució i l'extracció de dades dels navegadors web. (Safari i Google Chrome) i el clauer iCloud.
A més, dos connectors més faciliten la recopilació d'informació sobre altres dispositius que pertanyen a la mateixa xarxa, llistant les xarxes Wi-Fi a les quals el dispositiu s'ha connectat i proporcionant detalls sobre les xarxes Wi-Fi properes.
Independentment de la plataforma objectiu, l'objectiu principal del grup d'actors d'amenaça era interceptar les comunicacions de les víctimes, incloses les converses de missatgeria i les gravacions de veu. Es va desenvolupar un connector dedicat per a macOS específicament per al descobriment de xarxes, amb l'objectiu d'identificar dispositius a prop de la ubicació de la víctima.
