LightSpy spyware
Sikkerhetsanalytikere har avslørt at LightSpy-spywaren, som opprinnelig ble antatt å målrette Apple iOS-brukere, er en udokumentert macOS-variant av skadelig programvare. Denne innsikten stammer fra cybersikkerhetsspesialister som undersøkte sporene knyttet til denne trusselen på tvers av plattformer. Skadevarerammeverket har sannsynligvis potensial til å infisere et bredt spekter av systemer, inkludert Android, iOS, Windows, macOS og Linux, samt rutere produsert av NETGEAR, Linksys og ASUS.
Innholdsfortegnelse
Nettkriminelle utnytter sårbarheter for å infisere enheter med LightSpy
Trusselaktørgruppen utnyttet to offentlig tilgjengelige utnyttelser (CVE-2018-4233, CVE-2018-4404) for å distribuere implantater på macOS, med en del av CVE-2018-4404 som potensielt stammer fra Metasploit-rammeverket. Utnyttelsene målrettet macOS versjon 10.
Opprinnelig rapportert i 2020, har LightSpy siden blitt koblet til et Android-overvåkingsverktøy kalt DragonEgg.
I april 2024 avslørte forskere en "fornyet" cyberspionasjekampanje rettet mot brukere i Sør-Asia, som opprinnelig antas å levere en iOS-versjon av LightSpy. Imidlertid har det blitt oppdaget å være en mer sofistikert macOS-variant som bruker et plugin-basert system for å samle ulike typer informasjon.
Angrepskjeden til LightSpy-kampanjen
Analyse indikerer at macOS-varianten har vært operativ i naturen siden minst januar 2024, rettet mot omtrent 20 enheter, hvorav de fleste antas å være testenheter.
Angrepssekvensen starter med utnyttelsen av CVE-2018-4233, en Safari WebKit-sårbarhet, gjennom truende HTML-sider som utløser kjøring av kode. Dette fører til distribusjon av en 64-bit Mach-O binær forkledd som en PNG-bildefil.
Binærens hovedfunksjon er å trekke ut og kjøre et skallskript, som deretter henter tre ekstra nyttelaster: en privilegieeskaleringsutnyttelse, et krypterings-/dekrypteringsverktøy og et ZIP-arkiv.
Etter dette pakker skriptet ut ZIP-arkivet, som inneholder 'update' og 'update.plist'-filer, og tildeler root-privilegier til begge. 'Plist'-filen sikrer utholdenhet, og sikrer at den andre filen starter etter hver omstart av systemet.
Skadelige plugins lar nettkriminelle fange opp mange data
Oppdateringsfilen, også kjent som macircloader, fungerer som en laster for LightSpy Core-komponenten. Denne komponenten muliggjør kommunikasjon med en Command-and-Control-server (C2), som tillater henting av kommandoer og nedlasting av plugin-moduler.
MacOS-versjonen støtter 10 forskjellige plugins, som muliggjør ulike funksjoner som lydopptak fra mikrofonen, ta bilder, ta opp skjermaktivitet, filinnsamling og sletting, utføring av skallkommandoer, hente lister over installerte applikasjoner og kjørende prosesser og trekke ut data fra nettlesere (Safari og Google Chrome) og iCloud nøkkelring.
I tillegg gjør to andre plugins det enklere å samle informasjon om andre enheter som tilhører samme nettverk, og viser Wi-Fi-nettverk enheten har koblet til og gir detaljer om nærliggende Wi-Fi-nettverk.
Uavhengig av målrettet plattform, var trusselaktørgruppens primære mål å avskjære kommunikasjon mellom offer, inkludert messenger-samtaler og stemmeopptak. En dedikert plugin for macOS ble utviklet spesielt for nettverksoppdagelse, med mål om å identifisere enheter i nærheten av offerets plassering.
