Oprogramowanie szpiegowskie LightSpy
Analitycy bezpieczeństwa ujawnili, że oprogramowanie szpiegowskie LightSpy, początkowo pomyślane jako przeznaczone dla użytkowników systemu Apple iOS, jest nieudokumentowaną odmianą złośliwego oprogramowania dla systemu macOS. Wnioski te pochodzą od specjalistów ds. cyberbezpieczeństwa, którzy zbadali ślady powiązane z tym zagrożeniem dla wielu platform. Struktura szkodliwego oprogramowania prawdopodobnie może zainfekować szeroką gamę systemów, w tym Android, iOS, Windows, macOS i Linux, a także routery produkowane przez firmy NETGEAR, Linksys i ASUS.
Spis treści
Cyberprzestępcy wykorzystują luki w zabezpieczeniach, aby infekować urządzenia za pomocą LightSpy
Grupa ugrupowań zagrażających wykorzystała dwa publicznie dostępne exploity (CVE-2018-4233, CVE-2018-4404) do wdrożenia implantów w systemie macOS, przy czym część CVE-2018-4404 mogła pochodzić ze środowiska Metasploit. Celem exploitów była wersja macOS 10.
Po raz pierwszy zgłoszono w 2020 r., że LightSpy został powiązany z narzędziem do monitorowania systemu Android o nazwie DragonEgg.
W kwietniu 2024 r. badacze ujawnili „odnowioną” kampanię cyberszpiegowską skierowaną do użytkowników w Azji Południowej, która początkowo przypuszczała, że dostarczyła wersję LightSpy na iOS. Odkryto jednak, że jest to bardziej wyrafinowany wariant systemu macOS wykorzystujący system oparty na wtyczkach do gromadzenia różnego rodzaju informacji.
Łańcuch ataków kampanii LightSpy
Analiza wskazuje, że wariant systemu macOS działa na wolności co najmniej od stycznia 2024 r., a jego celem jest około 20 urządzeń, z których większość uważa się za urządzenia testowe.
Sekwencja ataku rozpoczyna się od wykorzystania luki CVE-2018-4233 w przeglądarce Safari WebKit, poprzez groźne strony HTML i wyzwalając wykonanie kodu. Prowadzi to do wdrożenia 64-bitowego pliku binarnego Mach-O zamaskowanego jako plik obrazu PNG.
Główną funkcją pliku binarnego jest wyodrębnienie i wykonanie skryptu powłoki, który następnie pobiera trzy dodatkowe ładunki: exploit zwiększający uprawnienia, narzędzie do szyfrowania/deszyfrowania oraz archiwum ZIP.
Następnie skrypt rozpakowuje archiwum ZIP zawierające pliki „update” i „update.plist” oraz przypisuje im uprawnienia roota. Plik „plist” zapewnia trwałość, zapewniając uruchomienie drugiego pliku po każdym ponownym uruchomieniu systemu.
Szkodliwe wtyczki umożliwiają cyberprzestępcom przechwytywanie wielu danych
Plik „aktualizacyjny”, znany również jako macircloader, służy jako moduł ładujący komponentu LightSpy Core. Ten komponent umożliwia komunikację z serwerem dowodzenia i kontroli (C2), umożliwiając pobieranie poleceń i pobieranie wtyczek.
Wersja macOS obsługuje 10 różnych wtyczek, umożliwiając różne funkcje, takie jak przechwytywanie dźwięku z mikrofonu, robienie zdjęć, nagrywanie aktywności na ekranie, zbieranie i usuwanie plików, wykonywanie poleceń powłoki, pobieranie list zainstalowanych aplikacji i uruchomionych procesów oraz wyodrębnianie danych z przeglądarek internetowych (Safari i Google Chrome) oraz pęk kluczy iCloud.
Dodatkowo dwie inne wtyczki ułatwiają zbieranie informacji o innych urządzeniach należących do tej samej sieci, wyświetlając listę sieci Wi-Fi, do których urządzenie jest podłączone, oraz podając szczegółowe informacje o pobliskich sieciach Wi-Fi.
Niezależnie od platformy docelowej głównym celem grupy ugrupowań zagrażających było przechwytywanie komunikacji ofiar, w tym rozmów za pośrednictwem komunikatorów i nagrań głosowych. Specjalnie do wykrywania sieci opracowano dedykowaną wtyczkę dla systemu macOS, której celem jest identyfikacja urządzeń w pobliżu lokalizacji ofiary.
