Spyware LightSpy
Gli analisti della sicurezza hanno rivelato che lo spyware LightSpy, inizialmente pensato per prendere di mira gli utenti Apple iOS, è una variante macOS non documentata del malware. Queste intuizioni provengono da specialisti della sicurezza informatica che hanno esaminato le tracce collegate a questa minaccia multipiattaforma. Il framework malware ha probabilmente il potenziale per infettare un’ampia gamma di sistemi, tra cui Android, iOS, Windows, macOS e Linux, nonché router prodotti da NETGEAR, Linksys e ASUS.
Sommario
I criminali informatici sfruttano le vulnerabilità per infettare i dispositivi con LightSpy
Il gruppo di autori delle minacce ha sfruttato due exploit disponibili pubblicamente (CVE-2018-4233, CVE-2018-4404) per implementare impianti su macOS, con parte di CVE-2018-4404 potenzialmente proveniente dal framework Metasploit. Gli exploit hanno preso di mira la versione 10 di macOS.
Segnalato inizialmente nel 2020, LightSpy da allora è stato collegato a uno strumento di sorveglianza Android chiamato DragonEgg.
Nell'aprile 2024, i ricercatori hanno rivelato una campagna di spionaggio informatico "rinnovata" rivolta agli utenti dell'Asia meridionale, inizialmente ritenuti fornire una versione iOS di LightSpy. Tuttavia, si è scoperto che si tratta di una variante di macOS più sofisticata che utilizza un sistema basato su plugin per raccogliere vari tipi di informazioni.
Catena di attacchi della campagna LightSpy
L'analisi indica che la variante macOS è operativa almeno dal gennaio 2024, prendendo di mira circa 20 dispositivi, la maggior parte dei quali si ritiene siano dispositivi di prova.
La sequenza di attacco inizia con lo sfruttamento di CVE-2018-4233, una vulnerabilità di Safari WebKit, attraverso pagine HTML minacciose, attivando l'esecuzione di codice. Ciò porta alla distribuzione di un binario Mach-O a 64 bit camuffato da file immagine PNG.
La funzione principale del binario è quella di estrarre ed eseguire uno script di shell, che poi recupera tre payload aggiuntivi: un exploit di escalation dei privilegi, uno strumento di crittografia/decrittografia e un archivio ZIP.
Successivamente, lo script decomprime l'archivio ZIP, contenente i file "update" e "update.plist", e assegna i privilegi di root a entrambi. Il file "plist" garantisce la persistenza, garantendo l'avvio dell'altro file dopo ogni riavvio del sistema.
Plugin dannosi consentono ai criminali informatici di catturare numerosi dati
Il file di "aggiornamento", noto anche come macircloader, funge da caricatore per il componente LightSpy Core. Questo componente consente la comunicazione con un server Command-and-Control (C2), consentendo il recupero di comandi e download di plug-in.
La versione macOS supporta 10 diversi plugin, abilitando varie funzionalità come l'acquisizione audio dal microfono, scattare foto, registrare l'attività dello schermo, raccogliere ed eliminare file, eseguire comandi shell, recuperare elenchi di applicazioni installate e processi in esecuzione ed estrarre dati dai browser web (Safari e Google Chrome) e portachiavi iCloud.
Inoltre, altri due plugin facilitano la raccolta di informazioni su altri dispositivi appartenenti alla stessa rete, elencando le reti Wi-Fi a cui il dispositivo è collegato e fornendo dettagli sulle reti Wi-Fi vicine.
Indipendentemente dalla piattaforma presa di mira, l'obiettivo principale del gruppo di autori della minaccia era intercettare le comunicazioni delle vittime, comprese le conversazioni di messaggistica e le registrazioni vocali. Un plugin dedicato per macOS è stato sviluppato appositamente per il rilevamento della rete, con l'obiettivo di identificare i dispositivi vicini alla posizione della vittima.
