Los usuarios de computadoras MacOS sufren el ataque del software espía LightSpy

mac computer

Investigadores de ciberseguridad han descubierto recientemente una variante no documentada previamente del software espía LightSpy dirigido a usuarios de macOS. Inicialmente identificado como una amenaza para los usuarios de Apple iOS, este descubrimiento indica un alcance más amplio de las capacidades del malware. Huntress Labs y ThreatFabric analizaron de forma independiente los artefactos asociados con este marco de malware multiplataforma, revelando su potencial para infectar múltiples sistemas operativos, incluidos Android, iOS, Windows, macOS, Linux e incluso enrutadores de NETGEAR, Linksys y ASUS.

Explotaciones utilizadas por LightSpy

Según ThreatFabric, los actores de amenazas utilizaron dos exploits disponibles públicamente, CVE-2018-4233 y CVE-2018-4404, para implementar los implantes en macOS. En particular, parte del exploit CVE-2018-4404 parece derivarse del marco Metasploit y apunta específicamente a la versión 10 de macOS.

Evolución y conexión con otro malware

LightSpy se informó públicamente por primera vez en 2020. Investigaciones posteriores realizadas por Lookout y una empresa holandesa de seguridad móvil sugirieron posibles conexiones entre LightSpy y una herramienta de vigilancia de Android conocida como DragonEgg. En abril, BlackBerry reveló una renovada campaña de ciberespionaje dirigida a usuarios del sur de Asia, entregando una versión iOS de LightSpy. Sin embargo, ahora se ha descubierto que una variante de macOS más sofisticada emplea un sistema basado en complementos para recopilar varios tipos de información.

Campaña actual y alcance

Si bien recientemente se subió una muestra del software espía a VirusTotal desde la India, los investigadores de Huntress, Stuart Ashenbrenner y Alden Schmidt, advierten que no se debe sacar conclusiones precipitadas sobre una campaña activa o una orientación regional sin evidencia más concreta. El análisis de ThreatFabric indica que esta variante de macOS ha estado activa desde al menos enero de 2024, aunque parece estar limitada a unos 20 dispositivos de prueba.

Mecanismo de ataque

El ataque se inicia explotando CVE-2018-4233, una vulnerabilidad de Safari WebKit, a través de páginas HTML maliciosas para ejecutar código. Esto conduce a la entrega de un binario Mach-O de 64 bits disfrazado de archivo de imagen PNG. Luego, el binario extrae y ejecuta un script de shell que recupera cargas útiles adicionales: un exploit de escalada de privilegios, una utilidad de cifrado/descifrado y un archivo ZIP. El script asigna privilegios de root a los archivos extraídos, configurando la persistencia para que el software espía se inicie después de que se reinicie el sistema.

Capacidades de LightSpy

La versión macOS de LightSpy admite diez complementos diseñados para diversas actividades maliciosas. Estos incluyen capturar audio desde el micrófono, tomar fotografías, grabar la actividad de la pantalla, recopilar y eliminar archivos, ejecutar comandos de shell, enumerar aplicaciones instaladas y procesos en ejecución, y extraer datos de navegadores web (Safari y Google Chrome) y iCloud Keychain. Además, los complementos permiten capturar información sobre otros dispositivos en la misma red, la lista de redes Wi-Fi a las que se ha conectado el dispositivo y detalles de las redes Wi-Fi cercanas.

Infraestructura de comando y control

El componente LightSpy Core establece contacto con un servidor de comando y control (C2), lo que le permite recibir comandos y descargar complementos. Tanto el Core como los complementos se pueden actualizar dinámicamente mediante comandos C2. ThreatFabric descubrió una mala configuración que permitía el acceso al panel C2, que incluía información sobre las víctimas y sus datos asociados.

Contexto más amplio de las amenazas móviles

Este descubrimiento es parte de una tendencia más amplia de malware dirigido a dispositivos móviles. Los dispositivos Android, por ejemplo, han sido atacados con conocidos troyanos bancarios como BankBot y SpyNote, particularmente en Uzbekistán y Brasil, y mediante la suplantación de un proveedor de telecomunicaciones mexicano para infectar a usuarios en América Latina y el Caribe. Al mismo tiempo, Access Now y Citizen Lab informaron sobre ataques de software espía Pegasus contra activistas y periodistas de habla rusa y bielorrusa en Letonia, Lituania y Polonia. Estos ataques, que se remontan al menos a 2020, se intensificaron tras la invasión rusa de Ucrania en febrero de 2022. El Grupo NSO, que fabrica el software espía Pegasus, afirmó que solo vende sus herramientas a naciones aliadas con Israel y Estados Unidos y prometió investigar estos informes. .

El descubrimiento de la variante de software espía LightSpy para macOS resalta la naturaleza sofisticada y en evolución de las amenazas cibernéticas. Este desarrollo subraya la importancia de contar con medidas sólidas de ciberseguridad y una vigilancia continua en todas las plataformas para proteger a los usuarios de este tipo de malware omnipresente y adaptable.

En Zane
June 10, 2024
Mac Malware
Spanish
June 10, 2024
Mac Malware

Entradas populares

Comprender el malware en cajeros automáticos de la UE: una...

Hace 13 days

¿Qué es el ransomware BO Team?

Hace 6 months

Error: Estafa emergente Ox800VDS

Hace 3 months

Roun.co.in: ¿Qué es este secuestrador de navegador?

Hace 12 days

Cómo detener y eliminar la extensión del navegador GuardGo y...

Hace 17 days

Secuestrador de navegador Remor.xyz

Hace 2 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.