Los usuarios de computadoras MacOS sufren el ataque del software espía LightSpy
Investigadores de ciberseguridad han descubierto recientemente una variante no documentada previamente del software espía LightSpy dirigido a usuarios de macOS. Inicialmente identificado como una amenaza para los usuarios de Apple iOS, este descubrimiento indica un alcance más amplio de las capacidades del malware. Huntress Labs y ThreatFabric analizaron de forma independiente los artefactos asociados con este marco de malware multiplataforma, revelando su potencial para infectar múltiples sistemas operativos, incluidos Android, iOS, Windows, macOS, Linux e incluso enrutadores de NETGEAR, Linksys y ASUS.
Table of Contents
Explotaciones utilizadas por LightSpy
Según ThreatFabric, los actores de amenazas utilizaron dos exploits disponibles públicamente, CVE-2018-4233 y CVE-2018-4404, para implementar los implantes en macOS. En particular, parte del exploit CVE-2018-4404 parece derivarse del marco Metasploit y apunta específicamente a la versión 10 de macOS.
Evolución y conexión con otro malware
LightSpy se informó públicamente por primera vez en 2020. Investigaciones posteriores realizadas por Lookout y una empresa holandesa de seguridad móvil sugirieron posibles conexiones entre LightSpy y una herramienta de vigilancia de Android conocida como DragonEgg. En abril, BlackBerry reveló una renovada campaña de ciberespionaje dirigida a usuarios del sur de Asia, entregando una versión iOS de LightSpy. Sin embargo, ahora se ha descubierto que una variante de macOS más sofisticada emplea un sistema basado en complementos para recopilar varios tipos de información.
Campaña actual y alcance
Si bien recientemente se subió una muestra del software espía a VirusTotal desde la India, los investigadores de Huntress, Stuart Ashenbrenner y Alden Schmidt, advierten que no se debe sacar conclusiones precipitadas sobre una campaña activa o una orientación regional sin evidencia más concreta. El análisis de ThreatFabric indica que esta variante de macOS ha estado activa desde al menos enero de 2024, aunque parece estar limitada a unos 20 dispositivos de prueba.
Mecanismo de ataque
El ataque se inicia explotando CVE-2018-4233, una vulnerabilidad de Safari WebKit, a través de páginas HTML maliciosas para ejecutar código. Esto conduce a la entrega de un binario Mach-O de 64 bits disfrazado de archivo de imagen PNG. Luego, el binario extrae y ejecuta un script de shell que recupera cargas útiles adicionales: un exploit de escalada de privilegios, una utilidad de cifrado/descifrado y un archivo ZIP. El script asigna privilegios de root a los archivos extraídos, configurando la persistencia para que el software espía se inicie después de que se reinicie el sistema.
Capacidades de LightSpy
La versión macOS de LightSpy admite diez complementos diseñados para diversas actividades maliciosas. Estos incluyen capturar audio desde el micrófono, tomar fotografías, grabar la actividad de la pantalla, recopilar y eliminar archivos, ejecutar comandos de shell, enumerar aplicaciones instaladas y procesos en ejecución, y extraer datos de navegadores web (Safari y Google Chrome) y iCloud Keychain. Además, los complementos permiten capturar información sobre otros dispositivos en la misma red, la lista de redes Wi-Fi a las que se ha conectado el dispositivo y detalles de las redes Wi-Fi cercanas.
Infraestructura de comando y control
El componente LightSpy Core establece contacto con un servidor de comando y control (C2), lo que le permite recibir comandos y descargar complementos. Tanto el Core como los complementos se pueden actualizar dinámicamente mediante comandos C2. ThreatFabric descubrió una mala configuración que permitía el acceso al panel C2, que incluía información sobre las víctimas y sus datos asociados.
Contexto más amplio de las amenazas móviles
Este descubrimiento es parte de una tendencia más amplia de malware dirigido a dispositivos móviles. Los dispositivos Android, por ejemplo, han sido atacados con conocidos troyanos bancarios como BankBot y SpyNote, particularmente en Uzbekistán y Brasil, y mediante la suplantación de un proveedor de telecomunicaciones mexicano para infectar a usuarios en América Latina y el Caribe. Al mismo tiempo, Access Now y Citizen Lab informaron sobre ataques de software espía Pegasus contra activistas y periodistas de habla rusa y bielorrusa en Letonia, Lituania y Polonia. Estos ataques, que se remontan al menos a 2020, se intensificaron tras la invasión rusa de Ucrania en febrero de 2022. El Grupo NSO, que fabrica el software espía Pegasus, afirmó que solo vende sus herramientas a naciones aliadas con Israel y Estados Unidos y prometió investigar estos informes. .
El descubrimiento de la variante de software espía LightSpy para macOS resalta la naturaleza sofisticada y en evolución de las amenazas cibernéticas. Este desarrollo subraya la importancia de contar con medidas sólidas de ciberseguridad y una vigilancia continua en todas las plataformas para proteger a los usuarios de este tipo de malware omnipresente y adaptable.