תוכנת ריגול LightSpy
אנליסטים של אבטחה חשפו כי תוכנת הריגול LightSpy, שנחשבה תחילה למוקד משתמשי Apple iOS, היא גרסת macOS לא מתועדת של התוכנה הזדונית. התובנות הללו נובעות ממומחי אבטחת סייבר שבחנו את העקבות הקשורים לאיום חוצה פלטפורמות זה. למסגרת התוכנה הזדונית יש ככל הנראה פוטנציאל להדביק מגוון רחב של מערכות, כולל אנדרואיד, iOS, Windows, macOS ו-Linux, כמו גם נתבים המיוצרים על ידי NETGEAR, Linksys ו-ASUS.
תוכן העניינים
פושעי סייבר מנצלים פגיעויות כדי להדביק מכשירים עם LightSpy
קבוצת שחקני האיום מינפה שני ניצולים זמינים לציבור (CVE-2018-4233, CVE-2018-4404) כדי לפרוס שתלים ב-macOS, כאשר חלק מ-CVE-2018-4404 עשוי להיות מקורו במסגרת Metasploit. הניצול ממוקד ל-macOS גרסה 10.
דיווח תחילה בשנת 2020, LightSpy מקושר מאז לכלי מעקב אנדרואיד בשם DragonEgg.
באפריל 2024, חוקרים חשפו מסע פרסום "מחודש" של ריגול סייבר המכוון למשתמשים בדרום אסיה, שנחשב בתחילה לספק גרסת iOS של LightSpy. עם זאת, התגלה כגרסה מתוחכמת יותר של macOS המשתמשת במערכת מבוססת תוספים לאיסוף סוגים שונים של מידע.
שרשרת התקיפה של קמפיין LightSpy
ניתוח מצביע על כך שגרסת ה-macOS פועלת בטבע מאז ינואר 2024 לפחות, ומכוונת לכ-20 מכשירים, שרובם נחשבים למכשירי בדיקה.
רצף ההתקפה מתחיל עם הניצול של CVE-2018-4233, פגיעות של Safari WebKit, דרך דפי HTML מאיימים, המפעילים ביצוע קוד. זה מוביל לפריסה של קובץ Mach-O בינארי של 64 סיביות במסווה של קובץ תמונה PNG.
הפונקציה העיקרית של הבינארי היא לחלץ ולהפעיל סקריפט מעטפת, אשר לאחר מכן מאחזר שלושה מטענים נוספים: ניצול הסלמה של הרשאות, כלי הצפנה/פענוח וארכיון ZIP.
לאחר מכן, הסקריפט פורק את ארכיון ה-ZIP, המכיל קבצי 'update' ו-'update.plist', ומקצה הרשאות שורש לשניהם. הקובץ 'plist' מבטיח התמדה, ומבטיח שהקובץ האחר יופעל לאחר כל הפעלה מחדש של המערכת.
תוספים מזיקים מאפשרים לפושעי סייבר ללכוד נתונים רבים
קובץ ה'עדכון', הידוע גם בשם macircloader, משמש כמטעין עבור רכיב LightSpy Core. רכיב זה מאפשר תקשורת עם שרת Command-and-Control (C2), המאפשר אחזור של פקודות והורדות תוספים.
גרסת macOS תומכת ב-10 תוספים שונים, המאפשרת פונקציונליות שונות כגון לכידת אודיו מהמיקרופון, צילום תמונות, הקלטת פעילות מסך, איסוף ומחיקה של קבצים, ביצוע פקודות מעטפת, אחזור רשימות של יישומים מותקנים ותהליכים פועלים וחילוץ נתונים מדפדפני אינטרנט (Safari ו-Google Chrome) ומחזיק מפתחות iCloud.
בנוסף, שני תוספים אחרים מקלים על איסוף מידע על מכשירים אחרים השייכים לאותה רשת, מציגים רשתות Wi-Fi שהמכשיר מחובר אליהן ומספקים פרטים על רשתות Wi-Fi קרובות.
ללא קשר לפלטפורמה שאליה נועדה, המטרה העיקרית של קבוצת שחקני האיום הייתה ליירט תקשורת של קורבנות, כולל שיחות שליחים והקלטות קוליות. תוסף ייעודי ל-macOS פותח במיוחד לגילוי רשת, במטרה לזהות מכשירים בקרבת מיקומו של הקורבן.
