LightSpy Spyware
Ibinunyag ng mga security analyst na ang LightSpy spyware, sa una ay naisip na i-target ang mga user ng Apple iOS, ay isang undocumented macOS variant ng malware. Ang mga insight na ito ay nagmula sa mga cybersecurity specialist na nagsuri sa mga bakas na naka-link sa cross-platform na banta na ito. Ang malware framework ay malamang na may potensyal na makahawa sa isang malawak na hanay ng mga system, kabilang ang Android, iOS, Windows, macOS, at Linux, pati na rin ang mga router na ginawa ng NETGEAR, Linksys, at ASUS.
Talaan ng mga Nilalaman
Sinasamantala ng mga Cybercriminal ang Mga Kahinaan para Mahawa ang Mga Device gamit ang LightSpy
Ginamit ng threat actor group ang dalawang pampublikong pagsasamantala (CVE-2018-4233, CVE-2018-4404) para mag-deploy ng mga implant sa macOS, na may bahagi ng CVE-2018-4404 na posibleng nagmula sa Metasploit framework. Ang mga pagsasamantala ay naka-target sa bersyon 10 ng macOS.
Una nang iniulat noong 2020, ang LightSpy ay na-link na sa isang tool sa pagsubaybay sa Android na pinangalanang DragonEgg.
Noong Abril 2024, isiniwalat ng mga mananaliksik ang isang "na-renew" na kampanyang cyber espionage na naglalayon sa mga user sa South Asia, na unang pinaniniwalaan na maghahatid ng iOS na bersyon ng LightSpy. Gayunpaman, natuklasan na ito ay isang mas sopistikadong variant ng macOS na gumagamit ng isang plugin-based system upang mangolekta ng iba't ibang uri ng impormasyon.
Attack Chain ng LightSpy Campaign
Isinasaad ng pagsusuri na ang variant ng macOS ay gumagana sa ligaw mula noong hindi bababa sa Enero 2024, na nagta-target ng humigit-kumulang 20 device, karamihan sa mga ito ay pinaniniwalaan na mga pansubok na device.
Nagsisimula ang pagkakasunud-sunod ng pag-atake sa pagsasamantala sa CVE-2018-4233, isang kahinaan sa Safari WebKit, sa pamamagitan ng mga nagbabantang HTML na pahina, na nagti-trigger ng pagpapatupad ng code. Ito ay humahantong sa pag-deploy ng isang 64-bit na Mach-O binary na disguised bilang PNG image file.
Ang pangunahing function ng binary ay upang i-extract at isagawa ang isang shell script, na pagkatapos ay kinukuha ang tatlong karagdagang mga payload: isang privilege escalation exploit, isang encryption/decryption tool, at isang ZIP archive.
Kasunod nito, ina-unpack ng script ang ZIP archive, na naglalaman ng mga 'update' at 'update.plist' na mga file, at nagtatalaga ng mga pribilehiyo sa ugat sa pareho. Tinitiyak ng 'plist' na file ang pagtitiyaga, tinitiyak na ang iba pang file ay ilulunsad pagkatapos ng bawat pag-restart ng system.
Ang Mapanganib na Plugin ay Nagbibigay-daan sa Mga Cybercriminal na Kumuha ng Maraming Data
Ang 'update' na file, na kilala rin bilang macircloader, ay nagsisilbing loader para sa LightSpy Core component. Ang bahaging ito ay nagbibigay-daan sa pakikipag-ugnayan sa isang Command-and-Control (C2) server, na nagpapahintulot sa pagkuha ng mga command at pag-download ng plugin.
Sinusuportahan ng bersyon ng macOS ang 10 iba't ibang mga plugin, na nagpapagana ng iba't ibang mga pag-andar tulad ng pagkuha ng audio mula sa mikropono, pagkuha ng mga larawan, pag-record ng aktibidad ng screen, pag-aani at pagtanggal ng file, pagpapatupad ng mga command ng shell, pagkuha ng mga listahan ng mga naka-install na application at mga tumatakbong proseso, at pagkuha ng data mula sa mga web browser (Safari at Google Chrome) at iCloud Keychain.
Bukod pa rito, pinapadali ng dalawa pang plugin ang pangangalap ng impormasyon tungkol sa iba pang mga device na kabilang sa parehong network, na naglilista ng mga Wi-Fi network kung saan naka-attach ang device at nagbibigay ng mga detalye tungkol sa mga kalapit na Wi-Fi network.
Anuman ang platform na na-target, ang pangunahing layunin ng grupong aktor ng banta ay hadlangan ang mga komunikasyon ng biktima, kabilang ang mga pag-uusap sa mensahero at pag-record ng boses. Ang isang nakatuong plugin para sa macOS ay partikular na binuo para sa pagtuklas ng network, na may layuning tukuyin ang mga device na malapit sa lokasyon ng biktima.
