LightSpy ਸਪਾਈਵੇਅਰ

ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ ਕਿ LightSpy ਸਪਾਈਵੇਅਰ, ਸ਼ੁਰੂ ਵਿੱਚ ਐਪਲ ਆਈਓਐਸ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਸੋਚਿਆ ਗਿਆ ਸੀ, ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਮੈਕਓਐਸ ਰੂਪ ਹੈ। ਇਹ ਸੂਝ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ ਜਿਨ੍ਹਾਂ ਨੇ ਇਸ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਖਤਰੇ ਨਾਲ ਜੁੜੇ ਨਿਸ਼ਾਨਾਂ ਦੀ ਜਾਂਚ ਕੀਤੀ। ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਵਿੱਚ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਐਂਡਰੌਇਡ, ਆਈਓਐਸ, ਵਿੰਡੋਜ਼, ਮੈਕੋਸ, ਅਤੇ ਲੀਨਕਸ ਦੇ ਨਾਲ-ਨਾਲ NETGEAR, Linksys, ਅਤੇ ASUS ਦੁਆਰਾ ਨਿਰਮਿਤ ਰਾਊਟਰਾਂ ਸਮੇਤ ਬਹੁਤ ਸਾਰੇ ਸਿਸਟਮਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਹੈ।

ਸਾਈਬਰ ਅਪਰਾਧੀ ਲਾਈਟਸਪੀ ਨਾਲ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ

ਧਮਕੀ ਅਭਿਨੇਤਾ ਸਮੂਹ ਨੇ ਮੈਕੋਸ 'ਤੇ ਇਮਪਲਾਂਟ ਲਗਾਉਣ ਲਈ ਦੋ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਸ਼ੋਸ਼ਣਾਂ (CVE-2018-4233, CVE-2018-4404) ਦਾ ਲਾਭ ਉਠਾਇਆ, CVE-2018-4404 ਦੇ ਹਿੱਸੇ ਦੇ ਨਾਲ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ Metasploit ਫਰੇਮਵਰਕ ਤੋਂ ਉਤਪੰਨ ਹੋਇਆ। ਨਿਸ਼ਾਨਾ ਮੈਕੋਸ ਸੰਸਕਰਣ 10 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਤੌਰ 'ਤੇ 2020 ਵਿੱਚ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ, ਲਾਈਟਸਪੀ ਨੂੰ ਉਦੋਂ ਤੋਂ ਡਰੈਗਨਈਗ ਨਾਮਕ ਇੱਕ ਐਂਡਰੌਇਡ ਨਿਗਰਾਨੀ ਟੂਲ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ।

ਅਪ੍ਰੈਲ 2024 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ "ਨਵੀਨੀ ਕੀਤੀ" ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਜਿਸਦਾ ਉਦੇਸ਼ ਦੱਖਣੀ ਏਸ਼ੀਆ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਹੈ, ਸ਼ੁਰੂ ਵਿੱਚ LightSpy ਦਾ ਇੱਕ iOS ਸੰਸਕਰਣ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵਿਸ਼ਵਾਸ ਕੀਤਾ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ, ਇਹ ਵੱਖ-ਵੱਖ ਕਿਸਮਾਂ ਦੀ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਇੱਕ ਪਲੱਗਇਨ-ਅਧਾਰਿਤ ਸਿਸਟਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਇੱਕ ਵਧੇਰੇ ਵਧੀਆ ਮੈਕੋਸ ਵੇਰੀਐਂਟ ਵਜੋਂ ਖੋਜਿਆ ਗਿਆ ਹੈ।

ਲਾਈਟਸਪੀ ਮੁਹਿੰਮ ਦੀ ਅਟੈਕ ਚੇਨ

ਵਿਸ਼ਲੇਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਮੈਕੋਸ ਵੇਰੀਐਂਟ ਘੱਟੋ-ਘੱਟ ਜਨਵਰੀ 2024 ਤੋਂ ਜੰਗਲੀ ਵਿੱਚ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ, ਲਗਭਗ 20 ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਜ਼ਿਆਦਾਤਰ ਟੈਸਟ ਡਿਵਾਈਸਾਂ ਮੰਨੇ ਜਾਂਦੇ ਹਨ।

ਹਮਲੇ ਦਾ ਕ੍ਰਮ CVE-2018-4233 ਦੇ ਸ਼ੋਸ਼ਣ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਇੱਕ Safari WebKit ਕਮਜ਼ੋਰੀ, HTML ਪੰਨਿਆਂ ਨੂੰ ਧਮਕੀ ਦੇ ਕੇ, ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਟਰਿੱਗਰ ਕਰਕੇ। ਇਹ ਇੱਕ PNG ਚਿੱਤਰ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਇੱਕ 64-ਬਿੱਟ Mach-O ਬਾਈਨਰੀ ਦੀ ਤਾਇਨਾਤੀ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ।

ਬਾਈਨਰੀ ਦਾ ਮੁੱਖ ਕੰਮ ਇੱਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ ਹੈ, ਜੋ ਫਿਰ ਤਿੰਨ ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ: ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਐਸਕੇਲੇਸ਼ਨ ਸ਼ੋਸ਼ਣ, ਇੱਕ ਏਨਕ੍ਰਿਪਸ਼ਨ/ਡਿਕ੍ਰਿਪਸ਼ਨ ਟੂਲ, ਅਤੇ ਇੱਕ ਜ਼ਿਪ ਆਰਕਾਈਵ।

ਇਸ ਤੋਂ ਬਾਅਦ, ਸਕ੍ਰਿਪਟ ਜ਼ਿਪ ਆਰਕਾਈਵ ਨੂੰ ਖੋਲ੍ਹਦੀ ਹੈ, ਜਿਸ ਵਿੱਚ 'ਅੱਪਡੇਟ' ਅਤੇ 'update.plist' ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹੁੰਦੀਆਂ ਹਨ, ਅਤੇ ਦੋਵਾਂ ਨੂੰ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਸੌਂਪਦੀ ਹੈ। 'plist' ਫਾਈਲ ਸਥਿਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਂਦੀ ਹੈ ਕਿ ਹਰੇਕ ਸਿਸਟਮ ਦੇ ਮੁੜ ਚਾਲੂ ਹੋਣ ਤੋਂ ਬਾਅਦ ਦੂਜੀ ਫਾਈਲ ਲਾਂਚ ਹੁੰਦੀ ਹੈ।

ਨੁਕਸਾਨਦੇਹ ਪਲੱਗਇਨ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨੂੰ ਬਹੁਤ ਸਾਰੇ ਡੇਟਾ ਕੈਪਚਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੇ ਹਨ

'ਅੱਪਡੇਟ' ਫਾਈਲ, ਜਿਸ ਨੂੰ ਮੈਕਿਰਲੋਡਰ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਲਾਈਟਸਪੀ ਕੋਰ ਕੰਪੋਨੈਂਟ ਲਈ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ। ਇਹ ਕੰਪੋਨੈਂਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਕਮਾਂਡਾਂ ਅਤੇ ਪਲੱਗਇਨ ਡਾਊਨਲੋਡਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

macOS ਸੰਸਕਰਣ 10 ਵੱਖ-ਵੱਖ ਪਲੱਗਇਨਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ, ਵੱਖ-ਵੱਖ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਜਿਵੇਂ ਕਿ ਮਾਈਕ੍ਰੋਫੋਨ ਤੋਂ ਆਡੀਓ ਕੈਪਚਰ ਕਰਨਾ, ਫੋਟੋਆਂ ਲੈਣਾ, ਸਕ੍ਰੀਨ ਗਤੀਵਿਧੀ ਰਿਕਾਰਡ ਕਰਨਾ, ਫਾਈਲ ਕਟਾਈ ਅਤੇ ਮਿਟਾਉਣਾ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣਾ, ਸਥਾਪਿਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀਆਂ ਸੂਚੀਆਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ, ਅਤੇ ਵੈਬ ਬ੍ਰਾਊਜ਼ਰਾਂ ਤੋਂ ਡਾਟਾ ਕੱਢਣਾ। (ਸਫਾਰੀ ਅਤੇ ਗੂਗਲ ਕਰੋਮ) ਅਤੇ iCloud ਕੀਚੇਨ.

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਦੋ ਹੋਰ ਪਲੱਗਇਨ ਉਸੇ ਨੈਟਵਰਕ ਨਾਲ ਸਬੰਧਤ ਹੋਰ ਡਿਵਾਈਸਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ, ਡਿਵਾਈਸ ਦੁਆਰਾ ਜੁੜੇ Wi-Fi ਨੈਟਵਰਕਾਂ ਦੀ ਸੂਚੀ ਬਣਾਉਣ ਅਤੇ ਨੇੜਲੇ Wi-Fi ਨੈਟਵਰਕਾਂ ਬਾਰੇ ਵੇਰਵੇ ਪ੍ਰਦਾਨ ਕਰਨ ਦੀ ਸਹੂਲਤ ਦਿੰਦੇ ਹਨ।

ਪਲੇਟਫਾਰਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਜਾਣ ਦੇ ਬਾਵਜੂਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਭਿਨੇਤਾ ਸਮੂਹ ਦਾ ਮੁਢਲਾ ਉਦੇਸ਼ ਪੀੜਤ ਸੰਚਾਰਾਂ ਨੂੰ ਰੋਕਣਾ ਸੀ, ਜਿਸ ਵਿੱਚ ਮੈਸੇਂਜਰ ਗੱਲਬਾਤ ਅਤੇ ਵੌਇਸ ਰਿਕਾਰਡਿੰਗ ਸ਼ਾਮਲ ਹਨ। ਮੈਕੋਸ ਲਈ ਇੱਕ ਸਮਰਪਿਤ ਪਲੱਗਇਨ ਖਾਸ ਤੌਰ 'ਤੇ ਨੈੱਟਵਰਕ ਖੋਜ ਲਈ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦਾ ਟੀਚਾ ਪੀੜਤ ਦੇ ਟਿਕਾਣੇ ਦੇ ਨੇੜੇ ਡਿਵਾਈਸਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਹੈ।