LightSpy špijunski softver
Sigurnosni analitičari otkrili su da je špijunski softver LightSpy, za koji se isprva mislilo da cilja na korisnike Apple iOS-a, nedokumentirana macOS varijanta zlonamjernog softvera. Ovi uvidi proizlaze iz stručnjaka za kibernetičku sigurnost koji su ispitivali tragove povezane s ovom prijetnjom na više platformi. Okvir zlonamjernog softvera vjerojatno ima potencijal zaraziti širok raspon sustava, uključujući Android, iOS, Windows, macOS i Linux, kao i usmjerivače koje proizvode NETGEAR, Linksys i ASUS.
Sadržaj
Cyberkriminalci iskorištavaju ranjivosti kako bi zarazili uređaje pomoću LightSpyja
Grupa aktera prijetnje iskoristila je dva javno dostupna exploita (CVE-2018-4233, CVE-2018-4404) za implementaciju implantata na macOS, pri čemu dio CVE-2018-4404 potencijalno potječe iz okvira Metasploit. Eksploatacije su bile usmjerene na macOS verziju 10.
Prvotno prijavljen 2020., LightSpy je od tada povezan s Androidovim alatom za nadzor pod nazivom DragonEgg.
U travnju 2024. istraživači su otkrili "obnovljenu" kampanju cyber špijunaže usmjerenu na korisnike u Južnoj Aziji, za koju se isprva vjerovalo da isporučuje verziju LightSpyja za iOS. Međutim, otkriveno je da se radi o sofisticiranijoj varijanti macOS-a koja koristi sustav temeljen na dodacima za prikupljanje različitih vrsta informacija.
Lanac napada LightSpy kampanje
Analiza pokazuje da je varijanta macOS operativna u divljini od najmanje siječnja 2024., ciljajući na približno 20 uređaja, od kojih se većina smatra testnim uređajima.
Sekvenca napada započinje iskorištavanjem CVE-2018-4233, ranjivosti Safarija WebKita, putem prijetećih HTML stranica, pokrećući izvršavanje koda. To dovodi do implementacije 64-bitne Mach-O binarne datoteke prerušene u PNG slikovnu datoteku.
Glavna funkcija binarne datoteke je izdvajanje i izvršavanje skripte ljuske, koja zatim dohvaća tri dodatna korisna opterećenja: eksploataciju eskalacije privilegija, alat za šifriranje/dešifriranje i ZIP arhivu.
Nakon toga, skripta raspakira ZIP arhivu koja sadrži datoteke 'update' i 'update.plist' i objema dodjeljuje root povlastice. Datoteka 'plist' osigurava postojanost, osiguravajući pokretanje druge datoteke nakon svakog ponovnog pokretanja sustava.
Štetni dodaci omogućuju kibernetičkim kriminalcima hvatanje brojnih podataka
Datoteka 'ažuriranja', također poznata kao macircloader, služi kao učitavač za komponentu LightSpy Core. Ova komponenta omogućuje komunikaciju s Command-and-Control (C2) poslužiteljem, dopuštajući dohvaćanje naredbi i preuzimanje dodataka.
Verzija za macOS podržava 10 različitih dodataka, omogućujući različite funkcije kao što su snimanje zvuka iz mikrofona, snimanje fotografija, snimanje aktivnosti zaslona, prikupljanje i brisanje datoteka, izvršavanje naredbi ljuske, dohvaćanje popisa instaliranih aplikacija i pokrenutih procesa te izdvajanje podataka iz web preglednika (Safari i Google Chrome) i iCloud Keychain.
Dodatno, dva druga dodatka olakšavaju prikupljanje informacija o drugim uređajima koji pripadaju istoj mreži, navode Wi-Fi mreže na koje je uređaj priključen i daju pojedinosti o obližnjim Wi-Fi mrežama.
Bez obzira na ciljnu platformu, primarni cilj grupe aktera prijetnje bio je presresti komunikaciju žrtve, uključujući razgovore putem glasnika i glasovne snimke. Namjenski dodatak za macOS razvijen je posebno za otkrivanje mreže, s ciljem identificiranja uređaja u blizini lokacije žrtve.
