Spyware Light Spy
Os analistas de segurança revelaram que o spyware LightSpy, inicialmente pensado para atingir usuários do Apple iOS, é uma variante não documentada do malware para macOS. Estas informações provêm de especialistas em segurança cibernética que examinaram os vestígios ligados a esta ameaça multiplataforma. A estrutura de malware provavelmente tem potencial para infectar uma ampla variedade de sistemas, incluindo Android, iOS, Windows, macOS e Linux, bem como roteadores fabricados pela NETGEAR, Linksys e ASUS.
Índice
Os Cibercriminosos Exploram Vulnerabilidades para Infectar Dispositivos com o LightSpy
O grupo de agentes de ameaças aproveitou duas explorações disponíveis publicamente (CVE-2018-4233, CVE-2018-4404) para implantar implantes no macOS, com parte do CVE-2018-4404 potencialmente originando-se da estrutura Metasploit. As explorações visavam a versão 10 do macOS.
Relatado inicialmente em 2020, o LightSpy está desde então vinculado a uma ferramenta de vigilância Android chamada DragonEgg.
Em abril de 2024, os pesquisadores divulgaram uma campanha “renovada” de espionagem cibernética destinada a usuários no sul da Ásia, inicialmente considerada como uma versão iOS do LightSpy. No entanto, descobriu-se que é uma variante mais sofisticada do macOS, que utiliza um sistema baseado em plug-in para coletar vários tipos de informações.
A Cadeia de Ataque da Campanha do LightSpy
A análise indica que a variante macOS está operacional desde pelo menos janeiro de 2024, visando aproximadamente 20 dispositivos, a maioria dos quais se acredita serem dispositivos de teste.
A sequência de ataque começa com a exploração da CVE-2018-4233, uma vulnerabilidade do Safari WebKit, através de páginas HTML ameaçadoras, desencadeando a execução de código. Isso leva à implantação de um binário Mach-O de 64 bits disfarçado como um arquivo de imagem PNG.
A principal função do binário é extrair e executar um script de shell, que então recupera três cargas adicionais: uma exploração de escalonamento de privilégios, uma ferramenta de criptografia/descriptografia e um arquivo ZIP.
Depois disso, o script descompacta o arquivo ZIP, contendo os arquivos ‘update’ e ‘update.plist’, e atribui privilégios de root a ambos. O arquivo 'plist' garante persistência, garantindo que o outro arquivo seja iniciado após cada reinicialização do sistema.
Plugins Prejudiciais Permitem que Criminosos Cibernéticos Capturem Vários Dados
O arquivo ‘update’, também conhecido como macircloader, serve como carregador para o componente LightSpy Core. Este componente permite a comunicação com um servidor Command-and-Control (C2), permitindo a recuperação de comandos e download de plugins.
A versão macOS suporta 10 plug-ins diferentes, permitindo diversas funcionalidades, como captura de áudio do microfone, tirar fotos, gravar atividades na tela, coletar e excluir arquivos, executar comandos shell, recuperar listas de aplicativos instalados e processos em execução e extrair dados de navegadores da web. (Safari e Google Chrome) e Chaveiro iCloud.
Além disso, dois outros plug-ins facilitam a coleta de informações sobre outros dispositivos pertencentes à mesma rede, listando as redes Wi-Fi às quais o dispositivo está conectado e fornecendo detalhes sobre as redes Wi-Fi próximas.
Independentemente da plataforma visada, o objetivo principal do grupo de atores ameaçadores era interceptar as comunicações das vítimas, incluindo conversas de mensagens e gravações de voz. Um plugin dedicado para macOS foi desenvolvido especificamente para descoberta de rede, com o objetivo de identificar dispositivos próximos à localização da vítima.
