Οι χρήστες υπολογιστών MacOS υποφέρουν από επίθεση LightSpy Spyware

Ερευνητές κυβερνοασφάλειας ανακάλυψαν πρόσφατα μια παραλλαγή του spyware LightSpy που δεν είχε τεκμηριωθεί στο παρελθόν, που στοχεύει χρήστες macOS. Αυτή η ανακάλυψη αρχικά αναγνωρίστηκε ως απειλή για τους χρήστες iOS της Apple, υποδεικνύει ένα ευρύτερο πεδίο των δυνατοτήτων του κακόβουλου λογισμικού. Τα Huntress Labs και ThreatFabric ανέλυσαν ανεξάρτητα τα τεχνουργήματα που σχετίζονται με αυτό το πλαίσιο κακόβουλου λογισμικού πολλαπλών πλατφορμών, αποκαλύπτοντας τις δυνατότητές του να μολύνει πολλά λειτουργικά συστήματα, συμπεριλαμβανομένων των Android, iOS, Windows, macOS, Linux, ακόμη και δρομολογητές από NETGEAR, Linksys και ASUS.

Εκμεταλλεύσεις που χρησιμοποιούνται από το LightSpy

Σύμφωνα με το ThreatFabric, οι φορείς απειλών χρησιμοποίησαν δύο δημόσια διαθέσιμα exploit, CVE-2018-4233 και CVE-2018-4404, για να παραδώσουν τα εμφυτεύματα στο macOS. Συγκεκριμένα, μέρος της εκμετάλλευσης CVE-2018-4404 φαίνεται να προέρχεται από το πλαίσιο Metasploit, στοχεύοντας συγκεκριμένα την έκδοση 10 του macOS.

Εξέλιξη και σύνδεση με άλλο κακόβουλο λογισμικό

Το LightSpy αναφέρθηκε για πρώτη φορά δημόσια το 2020. Μεταγενέστερες έρευνες από την Lookout και μια ολλανδική εταιρεία ασφάλειας κινητής τηλεφωνίας πρότειναν πιθανές συνδέσεις μεταξύ του LightSpy και ενός εργαλείου παρακολούθησης Android γνωστό ως DragonEgg. Τον Απρίλιο, η BlackBerry αποκάλυψε μια ανανεωμένη εκστρατεία κατασκοπείας στον κυβερνοχώρο που στοχεύει χρήστες της Νότιας Ασίας, παρέχοντας μια έκδοση iOS του LightSpy. Ωστόσο, έχει πλέον βρεθεί ότι μια πιο εξελιγμένη παραλλαγή macOS χρησιμοποιεί ένα σύστημα που βασίζεται σε πρόσθετα για τη συλλογή διαφόρων τύπων πληροφοριών.

Τρέχουσα καμπάνια και πεδίο εφαρμογής

Ενώ ένα δείγμα του spyware ανέβηκε πρόσφατα στο VirusTotal από την Ινδία, οι ερευνητές του Huntress Stuart Ashenbrenner και Alden Schmidt προειδοποιούν να μην βγάλουμε βιαστικά συμπεράσματα σχετικά με μια ενεργή εκστρατεία ή περιφερειακή στόχευση χωρίς πιο συγκεκριμένα στοιχεία. Η ανάλυση του ThreatFabric δείχνει ότι αυτή η παραλλαγή macOS είναι ενεργή τουλάχιστον από τον Ιανουάριο του 2024, αν και φαίνεται να περιορίζεται σε περίπου 20 συσκευές δοκιμής.

Μηχανισμός Επίθεσης

Η επίθεση ξεκινά με την εκμετάλλευση του CVE-2018-4233, μιας ευπάθειας του Safari WebKit, μέσω κακόβουλων σελίδων HTML για την εκτέλεση κώδικα. Αυτό οδηγεί στην παράδοση ενός δυαδικού Mach-O 64-bit μεταμφιεσμένου σε αρχείο εικόνας PNG. Στη συνέχεια, το δυαδικό εξάγει και εκτελεί ένα σενάριο φλοιού που ανακτά επιπλέον ωφέλιμα φορτία: μια εκμετάλλευση κλιμάκωσης προνομίων, ένα βοηθητικό πρόγραμμα κρυπτογράφησης/αποκρυπτογράφησης και ένα αρχείο ZIP. Το σενάριο εκχωρεί δικαιώματα root στα εξαγόμενα αρχεία, ρυθμίζοντας την επιμονή για την εκκίνηση του spyware μετά την επανεκκίνηση του συστήματος.

Δυνατότητες του LightSpy

Η έκδοση macOS του LightSpy υποστηρίζει δέκα πρόσθετα σχεδιασμένα για διάφορες κακόβουλες δραστηριότητες. Αυτά περιλαμβάνουν λήψη ήχου από το μικρόφωνο, λήψη φωτογραφιών, εγγραφή δραστηριότητας στην οθόνη, συλλογή και διαγραφή αρχείων, εκτέλεση εντολών φλοιού, καταχώριση εγκατεστημένων εφαρμογών και εκτελούμενων διαδικασιών και εξαγωγή δεδομένων από προγράμματα περιήγησης ιστού (Safari και Google Chrome) και το iCloud Keychain. Επιπλέον, οι προσθήκες επιτρέπουν τη λήψη πληροφοριών σχετικά με άλλες συσκευές στο ίδιο δίκτυο, τη λίστα των δικτύων Wi-Fi στα οποία έχει συνδεθεί η συσκευή και τις λεπτομέρειες των κοντινών δικτύων Wi-Fi.

Υποδομή Διοίκησης και Ελέγχου

Το στοιχείο LightSpy Core δημιουργεί επαφή με έναν διακομιστή εντολών και ελέγχου (C2), επιτρέποντάς του να λαμβάνει εντολές και να κατεβάζει πρόσθετα. Τόσο ο πυρήνας όσο και τα πρόσθετα μπορούν να ενημερωθούν δυναμικά μέσω εντολών C2. Το ThreatFabric ανακάλυψε μια εσφαλμένη διαμόρφωση που επέτρεπε την πρόσβαση στον πίνακα C2, ο οποίος περιλάμβανε πληροφορίες σχετικά με τα θύματα και τα σχετικά δεδομένα τους.

Ευρύτερο πλαίσιο απειλών για κινητές συσκευές

Αυτή η ανακάλυψη είναι μέρος μιας μεγαλύτερης τάσης κακόβουλου λογισμικού που στοχεύει κινητές συσκευές. Οι συσκευές Android, για παράδειγμα, έχουν δεχθεί επίθεση με γνωστά τραπεζικά trojans όπως το BankBot και το SpyNote, ιδιαίτερα στο Ουζμπεκιστάν και τη Βραζιλία, και μέσω της πλαστοπροσωπίας ενός μεξικανικού παρόχου τηλεπικοινωνιών για να μολύνουν χρήστες στη Λατινική Αμερική και την Καραϊβική. Ταυτόχρονα, η Access Now και το Citizen Lab ανέφεραν επιθέσεις κατασκοπευτικού λογισμικού Pegasus σε Ρώσους και Λευκορωσόφωνους ακτιβιστές και δημοσιογράφους στη Λετονία, τη Λιθουανία και την Πολωνία. Αυτές οι επιθέσεις, που χρονολογούνται τουλάχιστον από το 2020, έχουν ενταθεί μετά την εισβολή της Ρωσίας στην Ουκρανία τον Φεβρουάριο του 2022. Ο όμιλος NSO, που κατασκευάζει λογισμικό υποκλοπής Pegasus, δήλωσε ότι πουλά τα εργαλεία του μόνο σε χώρες που είναι σύμμαχοι με το Ισραήλ και τις ΗΠΑ και υποσχέθηκε να διερευνήσει αυτές τις αναφορές .

Η ανακάλυψη της παραλλαγής λογισμικού κατασκοπείας LightSpy για macOS υπογραμμίζει την εξελισσόμενη και εξελιγμένη φύση των απειλών στον κυβερνοχώρο. Αυτή η εξέλιξη υπογραμμίζει τη σημασία των ισχυρών μέτρων κυβερνοασφάλειας και της συνεχούς επαγρύπνησης σε όλες τις πλατφόρμες για την προστασία των χρηστών από τέτοιου είδους διάχυτο και προσαρμοστικό κακόβουλο λογισμικό.