نرم افزار جاسوسی LightSpy
تحلیلگران امنیتی فاش کردهاند که جاسوسافزار LightSpy که در ابتدا تصور میشد کاربران Apple iOS را هدف قرار میدهد، یک نوع macOS غیرمستند از این بدافزار است. این بینش ها از متخصصان امنیت سایبری ناشی می شود که ردپای مرتبط با این تهدید بین پلتفرمی را بررسی کردند. چارچوب بدافزار احتمالاً این پتانسیل را دارد که طیف گستردهای از سیستمها، از جمله Android، iOS، Windows، macOS و Linux و همچنین روترهای تولید شده توسط NETGEAR، Linksys و ASUS را آلوده کند.
فهرست مطالب
مجرمان سایبری از آسیب پذیری ها برای آلوده کردن دستگاه ها با LightSpy سوء استفاده می کنند
گروه عامل تهدید از دو اکسپلویت در دسترس عموم (CVE-2018-4233، CVE-2018-4404) برای استقرار ایمپلنت ها در macOS استفاده کرد که بخشی از CVE-2018-4404 احتمالاً از چارچوب Metasploit نشات می گیرد. این اکسپلویت نسخه 10 macOS را هدف قرار داده است.
در ابتدا در سال 2020 گزارش شد، LightSpy از آن زمان به یک ابزار نظارتی اندروید به نام DragonEgg مرتبط شده است.
در آوریل 2024، محققان یک کمپین جاسوسی سایبری "تجدید" را با هدف کاربران در جنوب آسیا فاش کردند که در ابتدا تصور می شد نسخه iOS LightSpy را ارائه می دهد. با این حال، کشف شده است که یک نسخه پیچیدهتر macOS است که از یک سیستم مبتنی بر پلاگین برای جمعآوری انواع مختلف اطلاعات استفاده میکند.
زنجیره حمله کمپین LightSpy
تجزیه و تحلیل نشان می دهد که نوع macOS حداقل از ژانویه 2024 در طبیعت عملیاتی شده است و تقریباً 20 دستگاه را هدف قرار داده است که تصور می شود اکثر آنها دستگاه های آزمایشی هستند.
توالی حمله با بهرهبرداری از CVE-2018-4233، یک آسیبپذیری Safari WebKit، از طریق صفحات تهدیدکننده HTML و اجرای کد آغاز میشود. این منجر به استقرار یک باینری 64 بیتی Mach-O می شود که به عنوان یک فایل تصویری PNG پنهان شده است.
عملکرد اصلی باینری استخراج و اجرای یک اسکریپت پوسته است که سپس سه بار اضافی را بازیابی می کند: یک اکسپلویت افزایش امتیاز، یک ابزار رمزگذاری/رمزگشایی و یک آرشیو ZIP.
پس از این، اسکریپت بایگانی ZIP را که حاوی فایلهای 'update' و 'update.plist' است باز میکند و به هر دو امتیاز root اختصاص میدهد. فایل 'plist' ماندگاری را تضمین می کند و اطمینان می دهد که فایل دیگر پس از هر بار راه اندازی مجدد سیستم راه اندازی می شود.
پلاگین های مضر به مجرمان سایبری اجازه می دهد تا داده های متعددی را ضبط کنند
فایل «بهروزرسانی» که به عنوان macircloader نیز شناخته میشود، بهعنوان لودر برای مؤلفه LightSpy Core عمل میکند. این مؤلفه ارتباط با یک سرور Command-and-Control (C2) را امکان پذیر می کند و امکان بازیابی دستورات و بارگیری افزونه ها را فراهم می کند.
نسخه macOS از 10 پلاگین مختلف پشتیبانی می کند و قابلیت های مختلفی مانند ضبط صدا از میکروفون، عکس گرفتن، ضبط فعالیت صفحه نمایش، برداشت و حذف فایل، اجرای دستورات پوسته، بازیابی لیست برنامه های نصب شده و فرآیندهای در حال اجرا و استخراج داده ها از مرورگرهای وب را امکان پذیر می کند. (Safari و Google Chrome) و iCloud Keychain.
علاوه بر این، دو افزونه دیگر جمعآوری اطلاعات مربوط به سایر دستگاههای متعلق به همان شبکه را تسهیل میکنند، شبکههای Wi-Fi را که دستگاه به آن متصل کرده است فهرست میکند و جزئیات مربوط به شبکههای Wi-Fi مجاور را ارائه میکند.
صرف نظر از پلتفرم مورد نظر، هدف اصلی گروه عامل تهدید، رهگیری ارتباطات قربانی از جمله مکالمات پیام رسان و ضبط صدا بود. یک افزونه اختصاصی برای macOS به طور خاص برای کشف شبکه با هدف شناسایی دستگاههای نزدیک به محل قربانی توسعه داده شد.