LightSpy-spyware
Beveiligingsanalisten hebben onthuld dat de LightSpy-spyware, waarvan aanvankelijk werd gedacht dat deze zich op Apple iOS-gebruikers richtte, een ongedocumenteerde macOS-variant van de malware is. Deze inzichten zijn afkomstig van cybersecurityspecialisten die de sporen onderzochten die verband houden met deze platformonafhankelijke dreiging. Het malwareframework heeft waarschijnlijk het potentieel om een breed scala aan systemen te infecteren, waaronder Android, iOS, Windows, macOS en Linux, evenals routers vervaardigd door NETGEAR, Linksys en ASUS.
Inhoudsopgave
Cybercriminelen misbruiken kwetsbaarheden om apparaten te infecteren met LightSpy
De groep bedreigingsactoren maakte gebruik van twee openbaar beschikbare exploits (CVE-2018-4233, CVE-2018-4404) om implantaten op macOS te implementeren, waarbij een deel van CVE-2018-4404 mogelijk afkomstig was van het Metasploit-framework. De exploits waren gericht op macOS versie 10.
LightSpy werd aanvankelijk gerapporteerd in 2020 en is sindsdien gekoppeld aan een Android-bewakingstool genaamd DragonEgg.
In april 2024 maakten onderzoekers een "vernieuwde" cyberspionagecampagne bekend, gericht op gebruikers in Zuid-Azië, waarvan aanvankelijk werd aangenomen dat het een iOS-versie van LightSpy zou opleveren. Er is echter ontdekt dat het een meer geavanceerde macOS-variant is die een op plug-ins gebaseerd systeem gebruikt om verschillende soorten informatie te verzamelen.
Aanvalsketen van de LightSpy-campagne
Uit analyse blijkt dat de macOS-variant minstens sinds januari 2024 in het wild actief is en zich richt op ongeveer twintig apparaten, waarvan wordt aangenomen dat de meeste testapparaten zijn.
De aanvalsreeks begint met de exploitatie van CVE-2018-4233, een kwetsbaarheid in Safari WebKit, via bedreigende HTML-pagina's, waardoor code-uitvoering wordt geactiveerd. Dit leidt tot de inzet van een 64-bit Mach-O binair bestand, vermomd als een PNG-afbeeldingsbestand.
De belangrijkste functie van het binaire bestand is het extraheren en uitvoeren van een shellscript, dat vervolgens drie extra payloads ophaalt: een privilege-escalatie-exploit, een coderings-/decoderingstool en een ZIP-archief.
Hierna pakt het script het ZIP-archief uit, dat de bestanden 'update' en 'update.plist' bevat, en wijst aan beide root-rechten toe. Het 'plist'-bestand zorgt voor persistentie en zorgt ervoor dat het andere bestand wordt gestart na elke herstart van het systeem.
Schadelijke plug-ins zorgen ervoor dat cybercriminelen talloze gegevens kunnen vastleggen
Het 'update'-bestand, ook bekend als macircloader, dient als lader voor de LightSpy Core-component. Dit onderdeel maakt communicatie mogelijk met een Command-and-Control (C2)-server, waardoor opdrachten kunnen worden opgehaald en plug-ins kunnen worden gedownload.
De macOS-versie ondersteunt 10 verschillende plug-ins, waardoor verschillende functionaliteiten mogelijk zijn, zoals het vastleggen van audio via de microfoon, het maken van foto's, het opnemen van schermactiviteit, het verzamelen en verwijderen van bestanden, het uitvoeren van shell-opdrachten, het ophalen van lijsten met geïnstalleerde applicaties en actieve processen, en het extraheren van gegevens uit webbrowsers (Safari en Google Chrome) en iCloud-sleutelhanger.
Bovendien vergemakkelijken twee andere plug-ins het verzamelen van informatie over andere apparaten die tot hetzelfde netwerk behoren, waarbij Wi-Fi-netwerken worden vermeld waarmee het apparaat is verbonden en details worden gegeven over Wi-Fi-netwerken in de buurt.
Ongeacht het beoogde platform was het voornaamste doel van de groep bedreigingsactoren het onderscheppen van de communicatie van slachtoffers, waaronder messenger-gesprekken en stemopnames. Er is speciaal een speciale plug-in voor macOS ontwikkeld voor netwerkdetectie, met als doel apparaten in de buurt van de locatie van het slachtoffer te identificeren.
