نرم افزار جاسوسی LightSpy

تحلیلگران امنیتی فاش کرده‌اند که جاسوس‌افزار LightSpy که در ابتدا تصور می‌شد کاربران Apple iOS را هدف قرار می‌دهد، یک نوع macOS غیرمستند از این بدافزار است. این بینش ها از متخصصان امنیت سایبری ناشی می شود که ردپای مرتبط با این تهدید بین پلتفرمی را بررسی کردند. چارچوب بدافزار احتمالاً این پتانسیل را دارد که طیف گسترده‌ای از سیستم‌ها، از جمله Android، iOS، Windows، macOS و Linux و همچنین روترهای تولید شده توسط NETGEAR، Linksys و ASUS را آلوده کند.

مجرمان سایبری از آسیب پذیری ها برای آلوده کردن دستگاه ها با LightSpy سوء استفاده می کنند

گروه عامل تهدید از دو اکسپلویت در دسترس عموم (CVE-2018-4233، CVE-2018-4404) برای استقرار ایمپلنت ها در macOS استفاده کرد که بخشی از CVE-2018-4404 احتمالاً از چارچوب Metasploit نشات می گیرد. این اکسپلویت نسخه 10 macOS را هدف قرار داده است.

در ابتدا در سال 2020 گزارش شد، LightSpy از آن زمان به یک ابزار نظارتی اندروید به نام DragonEgg مرتبط شده است.

در آوریل 2024، محققان یک کمپین جاسوسی سایبری "تجدید" را با هدف کاربران در جنوب آسیا فاش کردند که در ابتدا تصور می شد نسخه iOS LightSpy را ارائه می دهد. با این حال، کشف شده است که یک نسخه پیچیده‌تر macOS است که از یک سیستم مبتنی بر پلاگین برای جمع‌آوری انواع مختلف اطلاعات استفاده می‌کند.

زنجیره حمله کمپین LightSpy

تجزیه و تحلیل نشان می دهد که نوع macOS حداقل از ژانویه 2024 در طبیعت عملیاتی شده است و تقریباً 20 دستگاه را هدف قرار داده است که تصور می شود اکثر آنها دستگاه های آزمایشی هستند.

توالی حمله با بهره‌برداری از CVE-2018-4233، یک آسیب‌پذیری Safari WebKit، از طریق صفحات تهدیدکننده HTML و اجرای کد آغاز می‌شود. این منجر به استقرار یک باینری 64 بیتی Mach-O می شود که به عنوان یک فایل تصویری PNG پنهان شده است.

عملکرد اصلی باینری استخراج و اجرای یک اسکریپت پوسته است که سپس سه بار اضافی را بازیابی می کند: یک اکسپلویت افزایش امتیاز، یک ابزار رمزگذاری/رمزگشایی و یک آرشیو ZIP.

پس از این، اسکریپت بایگانی ZIP را که حاوی فایل‌های 'update' و 'update.plist' است باز می‌کند و به هر دو امتیاز root اختصاص می‌دهد. فایل 'plist' ماندگاری را تضمین می کند و اطمینان می دهد که فایل دیگر پس از هر بار راه اندازی مجدد سیستم راه اندازی می شود.

پلاگین های مضر به مجرمان سایبری اجازه می دهد تا داده های متعددی را ضبط کنند

فایل «به‌روزرسانی» که به عنوان macircloader نیز شناخته می‌شود، به‌عنوان لودر برای مؤلفه LightSpy Core عمل می‌کند. این مؤلفه ارتباط با یک سرور Command-and-Control (C2) را امکان پذیر می کند و امکان بازیابی دستورات و بارگیری افزونه ها را فراهم می کند.

نسخه macOS از 10 پلاگین مختلف پشتیبانی می کند و قابلیت های مختلفی مانند ضبط صدا از میکروفون، عکس گرفتن، ضبط فعالیت صفحه نمایش، برداشت و حذف فایل، اجرای دستورات پوسته، بازیابی لیست برنامه های نصب شده و فرآیندهای در حال اجرا و استخراج داده ها از مرورگرهای وب را امکان پذیر می کند. (Safari و Google Chrome) و iCloud Keychain.

علاوه بر این، دو افزونه دیگر جمع‌آوری اطلاعات مربوط به سایر دستگاه‌های متعلق به همان شبکه را تسهیل می‌کنند، شبکه‌های Wi-Fi را که دستگاه به آن متصل کرده است فهرست می‌کند و جزئیات مربوط به شبکه‌های Wi-Fi مجاور را ارائه می‌کند.

صرف نظر از پلتفرم مورد نظر، هدف اصلی گروه عامل تهدید، رهگیری ارتباطات قربانی از جمله مکالمات پیام رسان و ضبط صدا بود. یک افزونه اختصاصی برای macOS به طور خاص برای کشف شبکه با هدف شناسایی دستگاه‌های نزدیک به محل قربانی توسعه داده شد.