Spyware LightSpy
Analiștii de securitate au dezvăluit că programul spyware LightSpy, inițial crezut că vizează utilizatorii Apple iOS, este o variantă nedocumentată de macOS a malware-ului. Aceste informații provin de la specialiștii în securitate cibernetică care au examinat urmele legate de această amenințare multiplatformă. Cadrul de malware are probabil potențialul de a infecta o gamă largă de sisteme, inclusiv Android, iOS, Windows, macOS și Linux, precum și routerele fabricate de NETGEAR, Linksys și ASUS.
Cuprins
Infractorii cibernetici exploatează vulnerabilități pentru a infecta dispozitivele cu LightSpy
Grupul de actori amenințări a folosit două exploit-uri disponibile public (CVE-2018-4233, CVE-2018-4404) pentru a implementa implanturi pe macOS, o parte din CVE-2018-4404 care poate proveni din cadrul Metasploit. Exploaturile au vizat versiunea 10 a macOS.
Raportat inițial în 2020, LightSpy a fost de atunci conectat la un instrument de supraveghere Android numit DragonEgg.
În aprilie 2024, cercetătorii au dezvăluit o campanie de spionaj cibernetic „reînnoită” destinată utilizatorilor din Asia de Sud, despre care se credea inițial că oferă o versiune iOS a LightSpy. Cu toate acestea, s-a descoperit că este o variantă macOS mai sofisticată care utilizează un sistem bazat pe plugin pentru a colecta diferite tipuri de informații.
Lanțul de atac al campaniei LightSpy
Analiza indică faptul că varianta macOS este operațională în sălbăticie din ianuarie 2024, vizând aproximativ 20 de dispozitive, dintre care majoritatea sunt considerate dispozitive de testare.
Secvența de atac inițiază cu exploatarea CVE-2018-4233, o vulnerabilitate Safari WebKit, prin pagini HTML amenințătoare, declanșând execuția codului. Acest lucru duce la implementarea unui binar Mach-O pe 64 de biți deghizat într-un fișier imagine PNG.
Funcția principală a binarului este să extragă și să execute un script shell, care apoi preia trei încărcături suplimentare: un exploit de escaladare a privilegiilor, un instrument de criptare/decriptare și o arhivă ZIP.
După aceasta, scriptul despachetează arhiva ZIP, care conține fișierele „update” și „update.plist” și le atribuie privilegii de rădăcină ambelor. Fișierul „plist” asigură persistența, asigurând lansarea celuilalt fișier după fiecare repornire a sistemului.
Pluginurile dăunătoare permit infractorilor cibernetici să capteze numeroase date
Fișierul „actualizare”, cunoscut și sub numele de macircloader, servește ca încărcător pentru componenta LightSpy Core. Această componentă permite comunicarea cu un server Command-and-Control (C2), permițând preluarea comenzilor și descărcarea pluginurilor.
Versiunea macOS acceptă 10 plugin-uri diferite, permițând diverse funcționalități, cum ar fi captarea audio de la microfon, realizarea de fotografii, înregistrarea activității ecranului, recoltarea și ștergerea fișierelor, executarea comenzilor shell, preluarea listelor de aplicații instalate și a proceselor care rulează și extragerea datelor din browserele web. (Safari și Google Chrome) și brelocul iCloud.
În plus, alte două plugin-uri facilitează colectarea de informații despre alte dispozitive care aparțin aceleiași rețele, listând rețelele Wi-Fi la care dispozitivul le-a atașat și oferind detalii despre rețelele Wi-Fi din apropiere.
Indiferent de platforma vizată, scopul principal al grupului de amenințări a fost să intercepteze comunicările victimelor, inclusiv conversațiile cu mesagerie și înregistrările vocale. Un plugin dedicat pentru macOS a fost dezvoltat special pentru descoperirea rețelei, cu scopul de a identifica dispozitivele din apropierea locației victimei.
