LightSpy Spyware
Bezpečnostní analytici odhalili, že spyware LightSpy, o kterém se původně myslelo, že cílí na uživatele Apple iOS, je nezdokumentovanou variantou malwaru pro macOS. Tyto poznatky pocházejí od specialistů na kybernetickou bezpečnost, kteří zkoumali stopy spojené s touto multiplatformní hrozbou. Malwarový rámec má pravděpodobně potenciál infikovat širokou škálu systémů, včetně Android, iOS, Windows, macOS a Linux, stejně jako routery vyráběné společnostmi NETGEAR, Linksys a ASUS.
Obsah
Kyberzločinci využívají zranitelnosti k infikování zařízení pomocí LightSpy
Skupina aktérů hrozeb využila dva veřejně dostupné exploity (CVE-2018-4233, CVE-2018-4404) k nasazení implantátů na macOS, přičemž část CVE-2018-4404 potenciálně pocházela z rámce Metasploit. Tyto exploity byly zaměřeny na macOS verze 10.
LightSpy, který byl původně hlášen v roce 2020, byl od té doby propojen s nástrojem pro sledování Android s názvem DragonEgg.
V dubnu 2024 výzkumníci odhalili „obnovenou“ kybernetickou špionážní kampaň zaměřenou na uživatele v jižní Asii, o níž se původně věřilo, že přinese verzi LightSpy pro iOS. Bylo však zjištěno, že jde o sofistikovanější variantu macOS využívající systém založený na pluginech ke shromažďování různých typů informací.
Útokový řetězec kampaně LightSpy
Analýza ukazuje, že varianta macOS je v provozu ve volné přírodě minimálně od ledna 2024 a zaměřuje se na přibližně 20 zařízení, z nichž většina se považuje za testovací zařízení.
Sekvence útoku začíná zneužitím CVE-2018-4233, zranitelnosti Safari WebKit, prostřednictvím ohrožujících stránek HTML, které spouští spuštění kódu. To vede k nasazení 64bitové binárky Mach-O maskované jako soubor obrázku PNG.
Hlavní funkcí binárního souboru je extrahovat a spustit skript shellu, který pak získá tři další užitečné zatížení: zneužití eskalace oprávnění, nástroj pro šifrování/dešifrování a archiv ZIP.
Poté skript rozbalí archiv ZIP obsahující soubory 'update' a 'update.plist' a oběma přiřadí práva root. Soubor 'plist' zajišťuje stálost a zajišťuje, že se druhý soubor spustí po každém restartu systému.
Škodlivé pluginy umožňují kyberzločincům zachytit četná data
Soubor 'aktualizace', také známý jako macircloader, slouží jako zavaděč komponenty LightSpy Core. Tato komponenta umožňuje komunikaci se serverem Command-and-Control (C2) a umožňuje načítání příkazů a stahování pluginů.
Verze pro macOS podporuje 10 různých zásuvných modulů, které umožňují různé funkce, jako je snímání zvuku z mikrofonu, pořizování fotografií, záznam aktivity obrazovky, sklízení a mazání souborů, provádění příkazů shellu, načítání seznamů nainstalovaných aplikací a spuštěných procesů a extrahování dat z webových prohlížečů. (Safari a Google Chrome) a iCloud Keychain.
Dva další pluginy navíc usnadňují shromažďování informací o jiných zařízeních patřících do stejné sítě, vypisují Wi-Fi sítě, ke kterým je zařízení připojeno, a poskytují podrobnosti o blízkých Wi-Fi sítích.
Bez ohledu na cílovou platformu bylo hlavním cílem skupiny aktérů hrozeb zachytit komunikaci obětí, včetně konverzací s messengerem a hlasových nahrávek. Specializovaný plugin pro macOS byl vyvinut speciálně pro zjišťování sítě s cílem identifikovat zařízení v blízkosti polohy oběti.
