Les utilisateurs d'ordinateurs MacOS souffrent de l'attaque du logiciel espion LightSpy
Des chercheurs en cybersécurité ont récemment découvert une variante jusqu'alors non documentée du logiciel espion LightSpy ciblant les utilisateurs de macOS. Initialement identifiée comme une menace pour les utilisateurs d'Apple iOS, cette découverte indique une portée plus large des capacités du malware. Huntress Labs et ThreatFabric ont analysé indépendamment les artefacts associés à cette structure de malware multiplateforme, révélant son potentiel à infecter plusieurs systèmes d'exploitation, notamment Android, iOS, Windows, macOS, Linux et même les routeurs de NETGEAR, Linksys et ASUS.
Table of Contents
Exploits utilisés par LightSpy
Selon ThreatFabric, les auteurs de la menace ont utilisé deux exploits accessibles au public, CVE-2018-4233 et CVE-2018-4404, pour implanter les implants sur macOS. Notamment, une partie de l’exploit CVE-2018-4404 semble être dérivée du framework Metasploit, ciblant spécifiquement la version 10 de macOS.
Evolution et connexion à d'autres logiciels malveillants
LightSpy a été signalé publiquement pour la première fois en 2020. Des enquêtes ultérieures menées par Lookout et une société néerlandaise de sécurité mobile ont suggéré des connexions possibles entre LightSpy et un outil de surveillance Android connu sous le nom de DragonEgg. En avril, BlackBerry a dévoilé une nouvelle campagne de cyberespionnage ciblant les utilisateurs sud-asiatiques, proposant une version iOS de LightSpy. Cependant, il a maintenant été découvert qu'une variante plus sophistiquée de macOS utilise un système basé sur des plugins pour collecter divers types d'informations.
Campagne actuelle et portée
Alors qu'un échantillon du logiciel espion a été récemment téléchargé sur VirusTotal depuis l'Inde, les chercheurs de Huntress Stuart Ashenbrenner et Alden Schmidt mettent en garde contre les conclusions hâtives sur une campagne active ou un ciblage régional sans preuves plus concrètes. L'analyse de ThreatFabric indique que cette variante de macOS est active depuis au moins janvier 2024, même si elle semble limitée à environ 20 appareils de test.
Mécanisme d'attaque
L'attaque démarre en exploitant CVE-2018-4233, une vulnérabilité Safari WebKit, via des pages HTML malveillantes pour exécuter du code. Cela conduit à la livraison d'un binaire Mach-O 64 bits déguisé en fichier image PNG. Le binaire extrait et exécute ensuite un script shell qui récupère des charges utiles supplémentaires : un exploit d'élévation de privilèges, un utilitaire de chiffrement/déchiffrement et une archive ZIP. Le script attribue des privilèges root aux fichiers extraits, configurant ainsi la persistance du lancement du logiciel espion après le redémarrage du système.
Capacités de LightSpy
La version macOS de LightSpy prend en charge dix plugins conçus pour diverses activités malveillantes. Celles-ci incluent la capture de l'audio du microphone, la prise de photos, l'enregistrement de l'activité de l'écran, la récolte et la suppression de fichiers, l'exécution de commandes shell, la liste des applications installées et des processus en cours d'exécution, ainsi que l'extraction de données à partir des navigateurs Web (Safari et Google Chrome) et du trousseau iCloud. De plus, les plugins permettent de capturer des informations sur d'autres appareils sur le même réseau, la liste des réseaux Wi-Fi auxquels l'appareil s'est connecté et des détails sur les réseaux Wi-Fi à proximité.
Infrastructure de commandement et de contrôle
Le composant LightSpy Core établit un contact avec un serveur de commande et de contrôle (C2), lui permettant de recevoir des commandes et de télécharger des plugins. Le Core et les plugins peuvent être mis à jour dynamiquement via les commandes C2. ThreatFabric a découvert une mauvaise configuration qui permettait d'accéder au panneau C2, qui comprenait des informations sur les victimes et leurs données associées.
Contexte plus large des menaces mobiles
Cette découverte s’inscrit dans une tendance plus large de logiciels malveillants ciblant les appareils mobiles. Les appareils Android, par exemple, ont été attaqués par des chevaux de Troie bancaires connus comme BankBot et SpyNote, notamment en Ouzbékistan et au Brésil, et via l'usurpation d'identité d'un fournisseur de télécommunications mexicain pour infecter les utilisateurs d'Amérique latine et des Caraïbes. Parallèlement, Access Now et Citizen Lab ont signalé des attaques de logiciels espions Pegasus contre des militants et des journalistes russophones et biélorusses en Lettonie, en Lituanie et en Pologne. Ces attaques, remontant au moins à 2020, se sont intensifiées après l'invasion de l'Ukraine par la Russie en février 2022. Le groupe NSO, qui fabrique le logiciel espion Pegasus, a déclaré qu'il ne vendait ses outils qu'aux pays alliés à Israël et aux États-Unis et a promis d'enquêter sur ces rapports. .
La découverte de la variante du logiciel espion LightSpy pour macOS met en évidence la nature évolutive et sophistiquée des cybermenaces. Cette évolution souligne l’importance de mesures de cybersécurité robustes et d’une vigilance continue sur toutes les plateformes pour protéger les utilisateurs contre ces logiciels malveillants omniprésents et adaptatifs.
