LightSpy स्पाइवेयर

सुरक्षा विश्लेषकहरूले खुलासा गरेका छन् कि LightSpy स्पाइवेयर, प्रारम्भिक रूपमा Apple iOS प्रयोगकर्ताहरूलाई लक्षित गर्न सोचिएको थियो, यो मालवेयरको एक दस्तावेज नभएको macOS संस्करण हो। यी अन्तर्दृष्टिहरू साइबरसुरक्षा विशेषज्ञहरूबाट आएका हुन् जसले यस क्रस-प्लेटफर्म खतरासँग जोडिएका ट्रेसहरूको जाँच गरे। मालवेयर फ्रेमवर्कले एन्ड्रोइड, आईओएस, विन्डोज, म्याकोस, र लिनक्स, साथै NETGEAR, Linksys, र ASUS द्वारा निर्मित राउटरहरू सहित प्रणालीहरूको एक विस्तृत श्रृंखलालाई संक्रमित गर्ने सम्भावना छ।

साइबर अपराधीहरूले LightSpy को साथ उपकरणहरू संक्रमित गर्न कमजोरीहरूको शोषण गर्छन्

खतरा अभिनेता समूहले दुई सार्वजनिक रूपमा उपलब्ध शोषणहरू (CVE-2018-4233, CVE-2018-4404) macOS मा इम्प्लान्टहरू प्रयोग गर्न प्रयोग गर्‍यो, CVE-2018-4404 को भागको साथ सम्भावित रूपमा Metasploit फ्रेमवर्कबाट उत्पन्न भएको। शोषण लक्षित macOS संस्करण 10।

सुरुमा २०२० मा रिपोर्ट गरिएको थियो, LightSpy पछि देखि DragonEgg नामको एन्ड्रोइड निगरानी उपकरणसँग जोडिएको छ।

अप्रिल २०२४ मा, अन्वेषकहरूले दक्षिण एसियाका प्रयोगकर्ताहरूलाई लक्षित गरी "नविकरण" साइबर जासूसी अभियानको खुलासा गरे, सुरुमा LightSpy को iOS संस्करण प्रदान गर्ने विश्वास गरिन्छ। यद्यपि, यो विभिन्न प्रकारका जानकारी सङ्कलन गर्न प्लगइन-आधारित प्रणाली प्रयोग गरी थप परिष्कृत macOS संस्करण भएको पत्ता लागेको छ।

LightSpy अभियानको आक्रमण चेन

विश्लेषणले संकेत गर्छ कि macOS भेरियन्ट कम्तिमा जनवरी २०२४ देखि जंगलमा सञ्चालन भएको छ, लगभग २० यन्त्रहरूलाई लक्षित गर्दै, जसमध्ये अधिकांश परीक्षण यन्त्रहरू हुन् भन्ने विश्वास गरिन्छ।

आक्रमणको क्रम CVE-2018-4233 को शोषणको साथ सुरु हुन्छ, सफारी वेबकिट जोखिम, HTML पृष्ठहरूलाई धम्की दिने, कोड कार्यान्वयन ट्रिगर गरेर। यसले PNG छवि फाइलको रूपमा भेषमा 64-bit Mach-O बाइनरीको तैनातीमा नेतृत्व गर्दछ।

बाइनरीको मुख्य कार्य शेल स्क्रिप्ट निकाल्नु र कार्यान्वयन गर्नु हो, जसले त्यसपछि तीनवटा अतिरिक्त पेलोडहरू पुन: प्राप्त गर्दछ: एक विशेषाधिकार एस्केलेसन शोषण, एन्क्रिप्शन/डिक्रिप्शन उपकरण, र जिप अभिलेख।

यसपछि, स्क्रिप्टले 'अपडेट' र 'update.plist' फाइलहरू समावेश गरी ZIP अभिलेखलाई अनप्याक गर्छ, र दुवैलाई मूल विशेषाधिकारहरू प्रदान गर्दछ। 'plist' फाइलले दृढता सुनिश्चित गर्दछ, प्रत्येक प्रणाली पुन: सुरु भएपछि अन्य फाइलहरू लन्च हुने सुनिश्चित गर्दै।

हानिकारक प्लगइनहरूले साइबर अपराधीहरूलाई धेरै डाटा क्याप्चर गर्न अनुमति दिन्छ

'अद्यावधिक' फाइल, जसलाई macircloader पनि भनिन्छ, LightSpy कोर कम्पोनेन्टको लागि लोडरको रूपमा कार्य गर्दछ। यो कम्पोनेन्टले कमाण्ड र कन्ट्रोल (C2) सर्भरसँग सञ्चार सक्षम गर्दछ, आदेशहरू र प्लगइन डाउनलोडहरू पुन: प्राप्त गर्न अनुमति दिँदै।

macOS संस्करणले माइक्रोफोनबाट अडियो खिच्ने, फोटो खिच्ने, रेकर्डिङ स्क्रिन गतिविधि, फाइल हार्वेस्टिङ र मेटाउने, शेल आदेशहरू कार्यान्वयन गर्ने, स्थापित एपहरूको सूची र चलिरहेको प्रक्रियाहरू पुनःप्राप्त गर्ने, र वेब ब्राउजरबाट डाटा निकाल्ने जस्ता विभिन्न प्रकार्यहरू सक्षम पार्दै १० फरक प्लगइनहरूलाई समर्थन गर्दछ। (Safari र Google Chrome) र iCloud कीचेन।

थप रूपमा, अन्य दुई प्लगइनहरूले उही नेटवर्कसँग सम्बन्धित अन्य यन्त्रहरूको बारेमा जानकारी सङ्कलन गर्न, यन्त्रले संलग्न गरेको Wi-Fi नेटवर्कहरू सूचीबद्ध गर्न र नजिकैको Wi-Fi सञ्जालहरूको बारेमा विवरणहरू प्रदान गर्ने सुविधा दिन्छ।

लक्षित प्लेटफर्मको ख्याल नगरी, धम्की अभिनेता समूहको प्राथमिक उद्देश्य मेसेन्जर कुराकानी र भ्वाइस रेकर्डिङहरू सहित पीडित सञ्चारहरूलाई रोक्नु थियो। macOS को लागि समर्पित प्लगइन विशेष रूपमा नेटवर्क खोजको लागि विकसित गरिएको थियो, पीडितको स्थान नजिकका उपकरणहरू पहिचान गर्ने लक्ष्यको साथ।