LightSpy Spyware
Analistët e sigurisë kanë zbuluar se spyware-i LightSpy, që fillimisht mendohej se synonte përdoruesit e Apple iOS, është një variant i padokumentuar i macOS-it të malware. Këto njohuri burojnë nga specialistë të sigurisë kibernetike të cilët shqyrtuan gjurmët e lidhura me këtë kërcënim ndër-platformë. Korniza e malware ka të ngjarë të ketë potencialin të infektojë një gamë të gjerë sistemesh, duke përfshirë Android, iOS, Windows, macOS dhe Linux, si dhe ruterat e prodhuar nga NETGEAR, Linksys dhe ASUS.
Tabela e Përmbajtjes
Kriminelët kibernetikë shfrytëzojnë dobësitë për të infektuar pajisjet me LightSpy
Grupi i aktorëve të kërcënimit përdori dy shfrytëzime të disponueshme publikisht (CVE-2018-4233, CVE-2018-4404) për të vendosur implante në macOS, me një pjesë të CVE-2018-4404 që potencialisht buron nga kuadri Metasploit. Shfrytëzimet synuan versionin 10 të macOS.
Fillimisht u raportua në vitin 2020, LightSpy që atëherë është lidhur me një mjet survejimi Android të quajtur DragonEgg.
Në prill 2024, studiuesit zbuluan një fushatë "të rinovuar" të spiunazhit kibernetik që synonte përdoruesit në Azinë Jugore, që fillimisht besohej se ofronte një version iOS të LightSpy. Sidoqoftë, është zbuluar se është një variant macOS më i sofistikuar që përdor një sistem të bazuar në shtojca për të mbledhur lloje të ndryshme informacioni.
Zinxhiri i Sulmit të Fushatës LightSpy
Analiza tregon se varianti macOS ka qenë funksional në natyrë që të paktën që nga janari 2024, duke synuar rreth 20 pajisje, shumica e të cilave besohet të jenë pajisje testuese.
Sekuenca e sulmit fillon me shfrytëzimin e CVE-2018-4233, një dobësi e Safari WebKit, përmes faqeve kërcënuese HTML, duke shkaktuar ekzekutimin e kodit. Kjo çon në vendosjen e një binar 64-bit Mach-O të maskuar si një skedar imazhi PNG.
Funksioni kryesor i binarit është nxjerrja dhe ekzekutimi i një skripti shell, i cili më pas merr tre ngarkesa shtesë: një shfrytëzim të përshkallëzimit të privilegjit, një mjet kriptimi/deshifrimi dhe një arkiv ZIP.
Pas kësaj, skripti shpaketon arkivin ZIP, që përmban skedarët 'update' dhe 'update.plist' dhe u cakton të dyja privilegje rrënjësore. Skedari 'plist' siguron qëndrueshmëri, duke siguruar që skedari tjetër të nisë pas çdo rinisjeje të sistemit.
Shtojcat e dëmshme lejojnë kriminelët kibernetikë të kapin të dhëna të shumta
Skedari 'përditësues', i njohur gjithashtu si macircloader, shërben si ngarkues për komponentin LightSpy Core. Ky komponent mundëson komunikimin me një server Command-and-Control (C2), duke lejuar rikthimin e komandave dhe shkarkimet e shtojcave.
Versioni macOS mbështet 10 shtojca të ndryshme, duke mundësuar funksione të ndryshme si kapja e audios nga mikrofoni, marrja e fotografive, regjistrimi i aktivitetit të ekranit, grumbullimi dhe fshirja e skedarëve, ekzekutimi i komandave të predhave, marrja e listave të aplikacioneve të instaluara dhe proceset e ekzekutimit dhe nxjerrja e të dhënave nga shfletuesit e internetit (Safari dhe Google Chrome) dhe iCloud Keychain.
Për më tepër, dy shtojca të tjera lehtësojnë mbledhjen e informacionit për pajisjet e tjera që i përkasin të njëjtit rrjet, duke renditur rrjetet Wi-Fi me të cilat pajisja ka bashkangjitur dhe duke ofruar detaje rreth rrjeteve Wi-Fi aty pranë.
Pavarësisht nga platforma e synuar, qëllimi kryesor i grupit të aktorit të kërcënimit ishte të përgjonte komunikimet e viktimave, duke përfshirë bisedat e mesazherëve dhe regjistrimet zanore. Një shtesë e dedikuar për macOS u zhvillua posaçërisht për zbulimin e rrjetit, me qëllim identifikimin e pajisjeve pranë vendndodhjes së viktimës.
