Gli utenti di computer MacOS soffrono dell'attacco spyware LightSpy
I ricercatori di sicurezza informatica hanno recentemente scoperto una variante precedentemente non documentata dello spyware LightSpy destinato agli utenti macOS. Inizialmente identificato come una minaccia per gli utenti Apple iOS, questa scoperta indica una portata più ampia delle capacità del malware. Huntress Labs e ThreatFabric hanno analizzato in modo indipendente gli artefatti associati a questo framework malware multipiattaforma, rivelando il suo potenziale per infettare più sistemi operativi, tra cui Android, iOS, Windows, macOS, Linux e persino router di NETGEAR, Linksys e ASUS.
Table of Contents
Exploit utilizzati da LightSpy
Secondo ThreatFabric, gli autori delle minacce hanno utilizzato due exploit disponibili pubblicamente, CVE-2018-4233 e CVE-2018-4404, per fornire gli impianti su macOS. In particolare, parte dell’exploit CVE-2018-4404 sembra derivare dal framework Metasploit, prendendo di mira specificamente la versione 10 di macOS.
Evoluzione e connessione ad altri malware
LightSpy è stato segnalato pubblicamente per la prima volta nel 2020. Successive indagini di Lookout e di un'azienda olandese di sicurezza mobile hanno suggerito possibili connessioni tra LightSpy e uno strumento di sorveglianza Android noto come DragonEgg. Ad aprile, BlackBerry ha rivelato una rinnovata campagna di spionaggio informatico rivolta agli utenti dell'Asia meridionale, fornendo una versione iOS di LightSpy. Tuttavia, ora si è scoperto che una variante macOS più sofisticata utilizza un sistema basato su plugin per raccogliere vari tipi di informazioni.
Campagna e ambito attuali
Mentre un campione dello spyware è stato recentemente caricato su VirusTotal dall'India, i ricercatori di Huntress Stuart Ashenbrenner e Alden Schmidt mettono in guardia dal trarre conclusioni affrettate su una campagna attiva o su un targeting regionale senza prove più concrete. L'analisi di ThreatFabric indica che questa variante di macOS è attiva almeno da gennaio 2024, anche se sembra essere limitata a circa 20 dispositivi di prova.
Meccanismo di attacco
L'attacco inizia sfruttando CVE-2018-4233, una vulnerabilità di Safari WebKit, attraverso pagine HTML dannose per eseguire codice. Ciò porta alla consegna di un file binario Mach-O a 64 bit camuffato da file immagine PNG. Il file binario quindi estrae ed esegue uno script di shell che recupera ulteriori payload: un exploit di escalation dei privilegi, un'utilità di crittografia/decrittografia e un archivio ZIP. Lo script assegna i privilegi di root ai file estratti, impostando la persistenza per l'avvio dello spyware dopo il riavvio del sistema.
Funzionalità di LightSpy
La versione macOS di LightSpy supporta dieci plugin progettati per varie attività dannose. Questi includono l'acquisizione dell'audio dal microfono, lo scatto di foto, la registrazione dell'attività dello schermo, la raccolta e l'eliminazione di file, l'esecuzione di comandi shell, l'elenco delle applicazioni installate e dei processi in esecuzione e l'estrazione di dati dai browser Web (Safari e Google Chrome) e dal portachiavi iCloud. Inoltre, i plugin consentono l'acquisizione di informazioni su altri dispositivi sulla stessa rete, l'elenco delle reti Wi-Fi a cui il dispositivo si è connesso e i dettagli delle reti Wi-Fi vicine.
Infrastruttura di comando e controllo
Il componente LightSpy Core stabilisce un contatto con un server di comando e controllo (C2), consentendogli di ricevere comandi e scaricare plug-in. Sia il Core che i plugin possono essere aggiornati dinamicamente tramite i comandi C2. ThreatFabric ha scoperto un'errata configurazione che consentiva l'accesso al pannello C2, che includeva informazioni sulle vittime e i dati associati.
Contesto più ampio delle minacce mobili
Questa scoperta fa parte di una tendenza più ampia di malware che prende di mira i dispositivi mobili. I dispositivi Android, ad esempio, sono stati attaccati con noti trojan bancari come BankBot e SpyNote, in particolare in Uzbekistan e Brasile, e tramite l'imitazione di un fornitore di telecomunicazioni messicano per infettare utenti in America Latina e nei Caraibi. Allo stesso tempo, Access Now e Citizen Lab hanno segnalato attacchi spyware Pegasus contro attivisti e giornalisti di lingua russa e bielorussa in Lettonia, Lituania e Polonia. Questi attacchi, risalenti almeno al 2020, si sono intensificati in seguito all'invasione dell'Ucraina da parte della Russia nel febbraio 2022. Il gruppo NSO, che produce spyware Pegasus, ha dichiarato di vendere i suoi strumenti solo a nazioni alleate con Israele e Stati Uniti e ha promesso di indagare su questi rapporti .
La scoperta della variante spyware LightSpy per macOS evidenzia la natura in evoluzione e sofisticata delle minacce informatiche. Questo sviluppo sottolinea l’importanza di solide misure di sicurezza informatica e di una vigilanza continua su tutte le piattaforme per proteggere gli utenti da malware così pervasivi e adattivi.