LightSpy spionprogram
Säkerhetsanalytiker har avslöjat att spionprogrammet LightSpy, som från början tänktes rikta sig mot Apple iOS-användare, är en odokumenterad macOS-variant av skadlig programvara. Dessa insikter kommer från cybersäkerhetsspecialister som undersökte spåren kopplade till detta plattformsoberoende hot. Ramverket för skadlig programvara har sannolikt potential att infektera ett brett utbud av system, inklusive Android, iOS, Windows, macOS och Linux, såväl som routrar tillverkade av NETGEAR, Linksys och ASUS.
Innehållsförteckning
Cyberbrottslingar utnyttjar sårbarheter för att infektera enheter med LightSpy
Hotaktörsgruppen utnyttjade två allmänt tillgängliga exploateringar (CVE-2018-4233, CVE-2018-4404) för att distribuera implantat på macOS, med en del av CVE-2018-4404 som potentiellt kommer från Metasploit-ramverket. Exploateringen riktade sig mot macOS version 10.
LightSpy, som ursprungligen rapporterades 2020, har sedan dess kopplats till ett Android-övervakningsverktyg vid namn DragonEgg.
I april 2024 avslöjade forskare en "förnyad" cyberspionagekampanj riktad mot användare i södra Asien, som ursprungligen troddes leverera en iOS-version av LightSpy. Det har dock upptäckts vara en mer sofistikerad macOS-variant som använder ett plugin-baserat system för att samla in olika typer av information.
Attackkedjan för LightSpy-kampanjen
Analyser tyder på att macOS-varianten har varit i drift i naturen sedan åtminstone januari 2024 och riktar sig till cirka 20 enheter, varav de flesta tros vara testenheter.
Attacksekvensen inleds med utnyttjandet av CVE-2018-4233, en Safari WebKit-sårbarhet, genom hotfulla HTML-sidor som utlöser kodexekvering. Detta leder till distributionen av en 64-bitars Mach-O-binär förklädd som en PNG-bildfil.
Binärens huvudfunktion är att extrahera och exekvera ett skalskript, som sedan hämtar ytterligare tre nyttolaster: en privilegieskaleringsexploatering, ett krypterings-/dekrypteringsverktyg och ett ZIP-arkiv.
Efter detta packar skriptet upp ZIP-arkivet, som innehåller 'update' och 'update.plist'-filer, och tilldelar root-privilegier till båda. "Plist"-filen säkerställer beständighet och säkerställer att den andra filen startas efter varje omstart av systemet.
Skadliga plugins tillåter cyberbrottslingar att fånga många data
'Update'-filen, även känd som macircloader, fungerar som en loader för LightSpy Core-komponenten. Den här komponenten möjliggör kommunikation med en Command-and-Control-server (C2), vilket möjliggör hämtning av kommandon och nedladdningar av plugin.
MacOS-versionen stöder 10 olika plugins, som möjliggör olika funktioner som ljudinsamling från mikrofonen, ta bilder, spela in skärmaktivitet, filinsamling och radering, exekvera skalkommandon, hämta listor över installerade applikationer och köra processer och extrahera data från webbläsare (Safari och Google Chrome) och iCloud-nyckelring.
Dessutom underlättar två andra plugins insamling av information om andra enheter som tillhör samma nätverk, listar Wi-Fi-nätverk som enheten har anslutit till och ger information om närliggande Wi-Fi-nätverk.
Oavsett vilken plattform man riktar sig till, var hotaktörsgruppens primära mål att avlyssna offrets kommunikation, inklusive budbärarkonversationer och röstinspelningar. En dedikerad plugin för macOS utvecklades specifikt för nätverksupptäckt, med målet att identifiera enheter nära offrets plats.
