LightSpy 间谍软件

安全分析师透露，最初被认为针对 Apple iOS 用户的 LightSpy 间谍软件是该恶意软件的一个未记录的 macOS 变体。这些见解来自网络安全专家，他们检查了与此跨平台威胁相关的痕迹。该恶意软件框架可能会感染各种系统，包括 Android、iOS、Windows、macOS 和 Linux，以及 NETGEAR、Linksys 和 ASUS 生产的路由器。

网络犯罪分子利用漏洞通过 LightSpy 感染设备

该威胁行为者组织利用两个公开可用的漏洞（CVE-2018-4233、CVE-2018-4404）在 macOS 上部署植入程序，其中 CVE-2018-4404 的一部分可能源自 Metasploit 框架。这些漏洞针对的是 macOS 版本 10。

LightSpy 最初于 2020 年被报道出来，此后与名为 DragonEgg 的 Android 监控工具相关联。

2024 年 4 月，研究人员披露了一项针对南亚用户的“新一轮”网络间谍活动，最初据信该活动提供了 iOS 版 LightSpy。然而，人们发现，这是一种更复杂的 macOS 变体，利用基于插件的系统来收集各种类型的信息。

LightSpy 活动的攻击链

分析表明，macOS 变体至少自 2024 年 1 月起就已在野外运行，针对大约 20 台设备，其中大多数被认为是测试设备。

攻击序列首先利用 Safari WebKit 漏洞 CVE-2018-4233，通过威胁 HTML 页面触发代码执行。这导致部署伪装成 PNG 图像文件的 64 位 Mach-O 二进制文件。

该二进制文件的主要功能是提取并执行 shell 脚本，然后检索三个额外的有效负载：权限提升漏洞、加密/解密工具和 ZIP 存档。

随后，脚本将解压包含“update”和“update.plist”文件的 ZIP 存档，并为这两个文件分配 root 权限。“plist”文件可确保持久性，确保每次系统重启后另一个文件都会启动。

有害插件让网络犯罪分子窃取大量数据

“更新”文件（也称为 macircloader）用作 LightSpy Core 组件的加载器。此组件可与命令和控制 (C2) 服务器进行通信，从而允许检索命令和插件下载。

macOS 版本支持 10 种不同的插件，可实现各种功能，例如从麦克风捕获音频、拍照、记录屏幕活动、文件收集和删除、执行 shell 命令、检索已安装应用程序和正在运行的进程的列表，以及从网络浏览器（Safari 和 Google Chrome）和 iCloud Keychain 中提取数据。

此外，另外两个插件有助于收集有关属于同一网络的其他设备的信息，列出设备所连接的 Wi-Fi 网络并提供有关附近 Wi-Fi 网络的详细信息。

无论目标平台是什么，威胁行为者团体的主要目的都是拦截受害者的通信，包括 Messenger 对话和语音记录。专门为网络发现开发了一个 macOS 专用插件，目的是识别受害者位置附近的设备。