Το spyware LightSpy κάνει ξανά την εμφάνιση του ως macOS
Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν ότι το spyware LightSpy, που αρχικά θεωρήθηκε ότι στοχεύει χρήστες Apple iOS, είναι στην πραγματικότητα μια αδημοσίευτη έκδοση για macOS.
Οι αναλύσεις από Huntress Labs και ThreatFabric έδειξαν ότι το κακόβουλο λογισμικό έχει δυνατότητες μόλυνσης Android, iOS, Windows, macOS, Linux και routers από NETGEAR, Linksys και ASUS.
Ο παράγοντας απειλών χρησιμοποίησε δύο δημόσια διαθέσιμες εκμεταλλεύσεις (CVE-2018-4233, CVE-2018-4404) για την παράδοση implants για macOS. Το LightSpy δημοσιεύτηκε το 2020 και έχει συνδεθεί με το Android εργαλείο παρακολούθησης DragonEgg. Τον Απρίλιο, η BlackBerry αποκάλυψε μια νέα εκστρατεία κυβερνοκατασκοπείας στη Νότια Ασία, αλλά τώρα έχει διαπιστωθεί ότι πρόκειται για εκδοχή macOS που χρησιμοποιεί σύστημα plugins για την συλλογή πληροφοριών.
Η ανάλυση της ThreatFabric έδειξε ότι η έκδοση macOS είναι ενεργή από τον Ιανουάριο του 2024, αλλά περιορισμένη σε περίπου 20 συσκευές. Η επίθεση ξεκινά με την εκμετάλλευση του CVE-2018-4233, ένα σφάλμα στο Safari WebKit, που οδηγεί σε εκτέλεση κώδικα και παράδοση ενός 64-bit Mach-O binary που παρουσιάζεται ως αρχείο PNG. Το binary εκτελεί ένα shell script που φέρνει τρία επιπλέον payloads: ένα exploit για κλιμάκωση προνομίων, ένα εργαλείο κρυπτογράφησης/αποκρυπτογράφησης και ένα ZIP αρχείο.
Το αρχείο “update” λειτουργεί ως loader για το LightSpy Core, επιτρέποντάς του να επικοινωνεί με έναν C2 server και να κατεβάζει plugins, υποστηρίζοντας 10 διαφορετικά για καταγραφή ήχου, λήψη φωτογραφιών, καταγραφή δραστηριότητας οθόνης και άλλα.
Η εταιρεία κυβερνοασφάλειας ανακάλυψε λανθασμένη ρύθμιση που επέτρεπε πρόσβαση σε πλατφόρμα απομακρυσμένου ελέγχου με τις πληροφορίες των θυμάτων. Ο παράγοντας απειλής στόχευε σε επικοινωνίες θυμάτων. Συσκευές Android στοχοποιήθηκαν με τραπεζικά trojans στη Λατινική Αμερική. Έρευνα αποκάλυψε επιθέσεις με Pegasus spyware σε Ρώσους και Λευκορώσους ακτιβιστές και δημοσιογράφους από το 2020, με αύξηση μετά την εισβολή στην Ουκρανία το 2022. Η NSO Group δήλωσε ότι πουλάει τα εργαλεία της μόνο σε συμμάχους του Ισραήλ και των ΗΠΑ και θα ξεκινήσει έρευνα για πιθανούς τερματισμούς υπηρεσιών.
