LightSpy Spyware
Bezpečnostní analytici odhalili, že spyware LightSpy, o ktorom sa pôvodne myslelo, že sa zameriava na používateľov Apple iOS, je nezdokumentovaný variant malvéru pre macOS. Tieto poznatky pochádzajú od špecialistov na kybernetickú bezpečnosť, ktorí skúmali stopy spojené s touto multiplatformnou hrozbou. Malvérový rámec má pravdepodobne potenciál infikovať širokú škálu systémov vrátane Android, iOS, Windows, macOS a Linux, ako aj smerovačov vyrábaných spoločnosťami NETGEAR, Linksys a ASUS.
Obsah
Kyberzločinci využívajú slabé miesta na infikovanie zariadení pomocou LightSpy
Skupina aktérov v oblasti hrozieb využila dve verejne dostupné exploity (CVE-2018-4233, CVE-2018-4404) na nasadenie implantátov v systéme macOS, pričom časť CVE-2018-4404 potenciálne pochádza z rámca Metasploit. Zneužitia sa zamerali na macOS verzie 10.
LightSpy, ktorý bol pôvodne ohlásený v roku 2020, bol odvtedy prepojený s nástrojom na sledovanie systému Android s názvom DragonEgg.
V apríli 2024 výskumníci odhalili „obnovenú“ kybernetickú špionážnu kampaň zameranú na používateľov v južnej Ázii, o ktorej sa pôvodne verilo, že prinesie verziu LightSpy pre iOS. Zistilo sa však, že ide o sofistikovanejší variant systému MacOS, ktorý využíva systém založený na doplnkoch na zhromažďovanie rôznych typov informácií.
Útočný reťazec kampane LightSpy
Analýza naznačuje, že variant macOS je vo voľnej prírode funkčný minimálne od januára 2024 a zameriava sa na približne 20 zariadení, z ktorých väčšina sa považuje za testovacie zariadenia.
Útočná sekvencia sa začína zneužitím CVE-2018-4233, zraniteľnosti Safari WebKit, prostredníctvom hroziacich stránok HTML, čím sa spustí spustenie kódu. To vedie k nasadeniu 64-bitovej binárky Mach-O maskovanej ako obrazový súbor PNG.
Hlavnou funkciou binárneho súboru je extrahovať a spustiť skript shellu, ktorý potom získa tri ďalšie užitočné zaťaženia: zneužitie eskalácie privilégií, nástroj na šifrovanie/dešifrovanie a archív ZIP.
Potom skript rozbalí archív ZIP obsahujúci súbory 'update' a 'update.plist' a obom pridelí oprávnenia root. Súbor 'plist' zaisťuje stálosť a zabezpečuje spustenie druhého súboru po každom reštarte systému.
Škodlivé doplnky umožňujú počítačovým zločincom zachytávať množstvo údajov
Súbor 'aktualizácia', tiež známy ako macircloader, slúži ako zavádzač pre komponent LightSpy Core. Tento komponent umožňuje komunikáciu so serverom Command-and-Control (C2), ktorý umožňuje získavanie príkazov a sťahovanie doplnkov.
Verzia pre macOS podporuje 10 rôznych doplnkov, ktoré umožňujú rôzne funkcie, ako je snímanie zvuku z mikrofónu, fotografovanie, zaznamenávanie aktivity na obrazovke, zbieranie a odstraňovanie súborov, vykonávanie príkazov shell, získavanie zoznamov nainštalovaných aplikácií a spustených procesov a extrahovanie údajov z webových prehliadačov. (Safari a Google Chrome) a iCloud Keychain.
Dva ďalšie doplnky navyše uľahčujú zhromažďovanie informácií o iných zariadeniach patriacich do rovnakej siete, uvádzajú zoznam sietí Wi-Fi, ku ktorým je zariadenie pripojené, a poskytujú podrobnosti o blízkych sieťach Wi-Fi.
Bez ohľadu na cieľovú platformu bolo hlavným cieľom skupiny aktérov hrozieb zachytiť komunikáciu obetí vrátane konverzácií cez messenger a hlasových nahrávok. Špeciálny doplnok pre macOS bol vyvinutý špeciálne na zisťovanie siete s cieľom identifikovať zariadenia v blízkosti polohy obete.
