MacOS-computerbrugere lider af LightSpy-spywareangreb
Cybersikkerhedsforskere har for nylig afsløret en tidligere udokumenteret variant af LightSpy-spywaren rettet mod macOS-brugere. Oprindeligt identificeret som en trussel mod Apple iOS-brugere, indikerer denne opdagelse et bredere omfang af malwarens muligheder. Huntress Labs og ThreatFabric analyserede uafhængigt artefakter, der er forbundet med denne malwareramme på tværs af platforme, og afslørede dets potentiale til at inficere flere operativsystemer, inklusive Android, iOS, Windows, macOS, Linux og endda routere fra NETGEAR, Linksys og ASUS.
Table of Contents
Udnyttelse brugt af LightSpy
Ifølge ThreatFabric brugte trusselsaktørerne to offentligt tilgængelige udnyttelser, CVE-2018-4233 og CVE-2018-4404, til at levere implantaterne på macOS. Det er bemærkelsesværdigt, at en del af CVE-2018-4404-udnyttelsen ser ud til at være afledt af Metasploit-rammeværket, der er rettet specifikt mod macOS version 10.
Evolution og forbindelse til anden malware
LightSpy blev først rapporteret offentligt i 2020. Efterfølgende undersøgelser foretaget af Lookout og et hollandsk mobilsikkerhedsfirma antydede mulige forbindelser mellem LightSpy og et Android-overvågningsværktøj kendt som DragonEgg. I april afslørede BlackBerry en fornyet cyberspionagekampagne rettet mod sydasiatiske brugere, der leverede en iOS-version af LightSpy. Det har dog nu vist sig, at en mere sofistikeret macOS-variant anvender et plugin-baseret system til at indsamle forskellige typer information.
Aktuel kampagne og omfang
Mens en prøve af spyware for nylig blev uploadet til VirusTotal fra Indien, advarer Huntress-forskerne Stuart Ashenbrenner og Alden Schmidt mod at drage konklusioner om en aktiv kampagne eller regional målretning uden mere konkret bevis. ThreatFabric's analyse indikerer, at denne macOS-variant har været aktiv siden mindst januar 2024, selvom den ser ud til at være begrænset til omkring 20 testenheder.
Angrebsmekanisme
Angrebet starter ved at udnytte CVE-2018-4233, en Safari WebKit-sårbarhed, gennem ondsindede HTML-sider til at udføre kode. Dette fører til levering af en 64-bit Mach-O binær forklædt som en PNG-billedfil. Binæren udtrækker og kører derefter et shell-script, der henter yderligere nyttelast: en privilegie-eskaleringsudnyttelse, et krypterings-/dekrypteringsværktøj og et ZIP-arkiv. Scriptet tildeler root-privilegier til de udpakkede filer, og opsætter vedholdenhed for spywaren til at starte efter systemgenstart.
Funktioner af LightSpy
MacOS-versionen af LightSpy understøtter ti plugins designet til forskellige ondsindede aktiviteter. Disse omfatter optagelse af lyd fra mikrofonen, tage billeder, optagelse af skærmaktivitet, høst og sletning af filer, udførelse af shell-kommandoer, liste over installerede applikationer og kørende processer og udtrækning af data fra webbrowsere (Safari og Google Chrome) og iCloud-nøglering. Derudover muliggør plugins indfangning af oplysninger om andre enheder på det samme netværk, listen over Wi-Fi-netværk, enheden har tilsluttet sig, og detaljer om nærliggende Wi-Fi-netværk.
Kommando-og-kontrol-infrastruktur
LightSpy Core-komponenten etablerer kontakt med en kommando-og-kontrol-server (C2), så den kan modtage kommandoer og downloade plugins. Både Core og plugins kan opdateres dynamisk via C2-kommandoer. ThreatFabric opdagede en fejlkonfiguration, der tillod adgang til C2-panelet, som inkluderede oplysninger om ofre og deres tilknyttede data.
Bredere kontekst af mobile trusler
Denne opdagelse er en del af en større tendens til malware rettet mod mobile enheder. Android-enheder er for eksempel blevet angrebet med kendte banktrojanske heste som BankBot og SpyNote, især i Usbekistan og Brasilien, og via efterligning af en mexicansk teleudbyder for at inficere brugere i Latinamerika og Caribien. Samtidig rapporterede Access Now og Citizen Lab Pegasus spyware-angreb på russisk og hviderussisk-talende aktivister og journalister i Letland, Litauen og Polen. Disse angreb, der går tilbage til mindst 2020, er intensiveret efter Ruslands invasion af Ukraine i februar 2022. NSO-gruppen, der fremstiller Pegasus-spyware, erklærede, at de kun sælger sine værktøjer til nationer, der er allieret med Israel og USA, og lovede at undersøge disse rapporter .
Opdagelsen af LightSpy-spyware-varianten til macOS fremhæver den udviklende og sofistikerede karakter af cybertrusler. Denne udvikling understreger vigtigheden af robuste cybersikkerhedsforanstaltninger og kontinuerlig årvågenhed på tværs af alle platforme for at beskytte brugere mod så omfattende og adaptiv malware.