Vohunska programska oprema LightSpy
Varnostni analitiki so razkrili, da je vohunska programska oprema LightSpy, za katero so sprva mislili, da cilja na uporabnike Apple iOS, nedokumentirana različica zlonamerne programske opreme za macOS. Ti vpogledi izvirajo iz strokovnjakov za kibernetsko varnost, ki so preučili sledi, povezane s to grožnjo med platformami. Ogrodje zlonamerne programske opreme ima verjetno možnost, da okuži široko paleto sistemov, vključno z Android, iOS, Windows, macOS in Linux, kot tudi usmerjevalnike, ki jih proizvajajo NETGEAR, Linksys in ASUS.
Kazalo
Kibernetski kriminalci izkoriščajo ranljivosti za okužbo naprav s programom LightSpy
Skupina akterjev groženj je izkoristila dva javno dostopna podviga (CVE-2018-4233, CVE-2018-4404) za uvedbo vsadkov v macOS, pri čemer del CVE-2018-4404 potencialno izvira iz ogrodja Metasploit. Izkoriščanja so bila namenjena različici macOS 10.
LightSpy, o katerem so prvotno poročali leta 2020, je bil od takrat povezan z orodjem za nadzor Android, imenovanim DragonEgg.
Aprila 2024 so raziskovalci razkrili "prenovljeno" kibernetsko vohunsko kampanjo, namenjeno uporabnikom v južni Aziji, za katero so sprva domnevali, da zagotavlja različico LightSpy za iOS. Vendar je bilo ugotovljeno, da gre za bolj sofisticirano različico macOS, ki uporablja sistem na osnovi vtičnikov za zbiranje različnih vrst informacij.
Napadna veriga kampanje LightSpy
Analiza kaže, da različica macOS deluje v divjini vsaj od januarja 2024 in je namenjena približno 20 napravam, od katerih je večina domnevno testnih.
Zaporedje napadov se začne z izkoriščanjem CVE-2018-4233, ranljivosti Safari WebKit, prek grozečih strani HTML, ki sprožijo izvajanje kode. To vodi do uvedbe 64-bitne binarne datoteke Mach-O, prikrite kot slikovna datoteka PNG.
Glavna funkcija binarne datoteke je ekstrahiranje in izvajanje lupinskega skripta, ki nato pridobi tri dodatne obremenitve: izkoriščanje stopnjevanja privilegijev, orodje za šifriranje/dešifriranje in arhiv ZIP.
Nato skript razpakira arhiv ZIP, ki vsebuje datoteki 'update' in 'update.plist', in obema dodeli korenske pravice. Datoteka 'plist' zagotavlja obstojnost in zagotavlja zagon druge datoteke po vsakem ponovnem zagonu sistema.
Škodljivi vtičniki kibernetskim kriminalcem omogočajo zajemanje številnih podatkov
Datoteka 'posodobitev', znana tudi kot macircloader, služi kot nalagalnik za komponento LightSpy Core. Ta komponenta omogoča komunikacijo s strežnikom Command-and-Control (C2), kar omogoča pridobivanje ukazov in prenos vtičnikov.
Različica za macOS podpira 10 različnih vtičnikov, ki omogočajo različne funkcije, kot so zajem zvoka iz mikrofona, fotografiranje, snemanje dejavnosti zaslona, zbiranje in brisanje datotek, izvajanje ukazov lupine, pridobivanje seznamov nameščenih aplikacij in zagnanih procesov ter pridobivanje podatkov iz spletnih brskalnikov. (Safari in Google Chrome) in iCloud Keychain.
Poleg tega dva druga vtičnika omogočata zbiranje informacij o drugih napravah, ki pripadajo istemu omrežju, s seznamom omrežij Wi-Fi, na katera je naprava priključena, in zagotavljanjem podrobnosti o bližnjih omrežjih Wi-Fi.
Ne glede na ciljno platformo je bil glavni cilj skupine akterjev groženj prestrezanje komunikacije žrtev, vključno s pogovori v messengerju in glasovnimi posnetki. Namenski vtičnik za macOS je bil razvit posebej za odkrivanje omrežja s ciljem prepoznavanja naprav v bližini lokacije žrtve.
