MacOS-Computerbenutzer leiden unter LightSpyware-Angriffen

mac computer

Cybersicherheitsforscher haben kürzlich eine bislang nicht dokumentierte Variante der Spyware LightSpy entdeckt, die es auf macOS-Benutzer abgesehen hat. Ursprünglich wurde sie als Bedrohung für Apple iOS-Benutzer identifiziert, diese Entdeckung deutet jedoch auf ein breiteres Spektrum der Fähigkeiten der Malware hin. Huntress Labs und ThreatFabric analysierten unabhängig voneinander die mit diesem plattformübergreifenden Malware-Framework verbundenen Artefakte und enthüllten sein Potenzial, mehrere Betriebssysteme zu infizieren, darunter Android, iOS, Windows, macOS, Linux und sogar Router von NETGEAR, Linksys und ASUS.

Von LightSpy verwendete Exploits

Laut ThreatFabric nutzten die Bedrohungsakteure zwei öffentlich verfügbare Exploits, CVE-2018-4233 und CVE-2018-4404, um die Implantate auf macOS zu platzieren. Insbesondere scheint ein Teil des CVE-2018-4404-Exploits vom Metasploit-Framework abgeleitet zu sein und zielt speziell auf macOS Version 10 ab.

Entwicklung und Verbindung zu anderer Malware

LightSpy wurde erstmals 2020 öffentlich gemeldet. Nachfolgende Untersuchungen von Lookout und einer niederländischen mobilen Sicherheitsfirma deuteten auf mögliche Verbindungen zwischen LightSpy und einem Android-Überwachungstool namens DragonEgg hin. Im April gab BlackBerry eine erneute Cyber-Spionagekampagne bekannt, die auf südasiatische Benutzer abzielte und eine iOS-Version von LightSpy bereitstellte. Nun wurde jedoch festgestellt, dass eine ausgefeiltere macOS-Variante ein Plugin-basiertes System verwendet, um verschiedene Arten von Informationen zu sammeln.

Aktuelle Kampagne und Umfang

Obwohl kürzlich eine Probe der Spyware aus Indien auf VirusTotal hochgeladen wurde, warnen die Huntress-Forscher Stuart Ashenbrenner und Alden Schmidt davor, ohne konkretere Beweise voreilige Schlüsse über eine aktive Kampagne oder regionale Angriffe zu ziehen. Die Analyse von ThreatFabric zeigt, dass diese macOS-Variante seit mindestens Januar 2024 aktiv ist, obwohl sie auf etwa 20 Testgeräte beschränkt zu sein scheint.

Angriffsmechanismus

Der Angriff beginnt mit der Ausnutzung von CVE-2018-4233, einer Sicherheitslücke in Safari WebKit, über bösartige HTML-Seiten, um Code auszuführen. Dies führt zur Bereitstellung einer 64-Bit-Mach-O-Binärdatei, die als PNG-Bilddatei getarnt ist. Die Binärdatei extrahiert und führt dann ein Shell-Skript aus, das zusätzliche Nutzdaten abruft: einen Exploit zur Rechteausweitung, ein Verschlüsselungs-/Entschlüsselungsprogramm und ein ZIP-Archiv. Das Skript weist den extrahierten Dateien Root-Rechte zu und sorgt so dafür, dass die Spyware nach einem Systemneustart dauerhaft ausgeführt wird.

Funktionen von LightSpy

Die macOS-Version von LightSpy unterstützt zehn Plugins, die für verschiedene bösartige Aktivitäten entwickelt wurden. Dazu gehören das Aufnehmen von Audio vom Mikrofon, das Aufnehmen von Fotos, das Aufzeichnen von Bildschirmaktivitäten, das Sammeln und Löschen von Dateien, das Ausführen von Shell-Befehlen, das Auflisten installierter Anwendungen und laufender Prozesse sowie das Extrahieren von Daten aus Webbrowsern (Safari und Google Chrome) und dem iCloud-Schlüsselbund. Darüber hinaus ermöglichen Plugins das Erfassen von Informationen über andere Geräte im selben Netzwerk, die Liste der Wi-Fi-Netzwerke, mit denen das Gerät verbunden ist, und Details zu Wi-Fi-Netzwerken in der Nähe.

Befehls- und Kontrollinfrastruktur

Die LightSpy Core-Komponente stellt Kontakt zu einem Command-and-Control-Server (C2) her und kann so Befehle empfangen und Plugins herunterladen. Sowohl der Core als auch die Plugins können über C2-Befehle dynamisch aktualisiert werden. ThreatFabric entdeckte eine Fehlkonfiguration, die Zugriff auf das C2-Panel ermöglichte, das Informationen über Opfer und die damit verbundenen Daten enthielt.

Weiter gefasster Kontext mobiler Bedrohungen

Diese Entdeckung ist Teil eines größeren Trends von Malware, die auf mobile Geräte abzielt. Android-Geräte wurden beispielsweise mit bekannten Banking-Trojanern wie BankBot und SpyNote angegriffen, insbesondere in Usbekistan und Brasilien, und durch die Nachahmung eines mexikanischen Telekommunikationsanbieters, um Benutzer in Lateinamerika und der Karibik zu infizieren. Gleichzeitig meldeten Access Now und das Citizen Lab Pegasus-Spyware-Angriffe auf russisch- und weißrussischsprachige Aktivisten und Journalisten in Lettland, Litauen und Polen. Diese Angriffe, die mindestens bis ins Jahr 2020 zurückreichen, haben sich nach der Invasion Russlands in der Ukraine im Februar 2022 intensiviert. Die NSO Group, die Pegasus-Spyware herstellt, erklärte, dass sie ihre Tools nur an mit Israel und den USA verbündete Länder verkauft, und versprach, diese Berichte zu untersuchen.

Die Entdeckung der Spyware-Variante LightSpy für macOS unterstreicht die sich entwickelnde und ausgefeilte Natur von Cyberbedrohungen. Diese Entwicklung unterstreicht die Bedeutung robuster Cybersicherheitsmaßnahmen und kontinuierlicher Wachsamkeit auf allen Plattformen, um Benutzer vor solch weit verbreiteter und adaptiver Malware zu schützen.

Bis Zane
June 10, 2024
Mac Malware
Deutsch
June 10, 2024
Mac Malware

Beliebte Beiträge

Malware für Geldautomaten in der EU verstehen: Eine wachsende...

vor 13 days

Was ist BO Team Ransomware?

vor 6 months

Fehler: Ox800VDS-Popup-Betrug

vor 3 months

Roun.co.in: Was ist dieser Browser-Hijacker

vor 12 days

So stoppen und entfernen Sie die GuardGo-Browsererweiterung...

vor 17 days

Remor.xyz Browser Hijacker

vor 2 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.