MacOS-databrukere lider av LightSpy-spywareangrep
Cybersikkerhetsforskere har nylig avdekket en tidligere udokumentert variant av LightSpy-spywaren rettet mot macOS-brukere. Opprinnelig identifisert som en trussel mot Apple iOS-brukere, indikerer denne oppdagelsen et bredere spekter av skadelig programvares evner. Huntress Labs og ThreatFabric analyserte uavhengig artefaktene knyttet til dette rammeverket for skadelig programvare på tvers av plattformer, og avslørte potensialet til å infisere flere operativsystemer, inkludert Android, iOS, Windows, macOS, Linux og til og med rutere fra NETGEAR, Linksys og ASUS.
Table of Contents
Utnyttelser brukt av LightSpy
I følge ThreatFabric brukte trusselaktørene to offentlig tilgjengelige utnyttelser, CVE-2018-4233 og CVE-2018-4404, for å levere implantatene på macOS. Spesielt ser det ut til at en del av CVE-2018-4404-utnyttelsen er avledet fra Metasploit-rammeverket, spesifikt rettet mot macOS versjon 10.
Evolusjon og tilkobling til annen skadelig programvare
LightSpy ble først rapportert offentlig i 2020. Påfølgende undersøkelser av Lookout og et nederlandsk mobilsikkerhetsfirma antydet mulige forbindelser mellom LightSpy og et Android-overvåkingsverktøy kjent som DragonEgg. I april avslørte BlackBerry en fornyet nettspionasjekampanje rettet mot sørasiatiske brukere, og leverte en iOS-versjon av LightSpy. Imidlertid har det nå blitt funnet at en mer sofistikert macOS-variant bruker et plugin-basert system for å samle inn ulike typer informasjon.
Gjeldende kampanje og omfang
Mens et utvalg av spyware nylig ble lastet opp til VirusTotal fra India, advarer Huntress-forskerne Stuart Ashenbrenner og Alden Schmidt mot å trekke konklusjoner om en aktiv kampanje eller regional målretting uten mer konkrete bevis. ThreatFabrics analyse indikerer at denne macOS-varianten har vært aktiv siden minst januar 2024, selv om den ser ut til å være begrenset til rundt 20 testenheter.
Angrepsmekanisme
Angrepet starter ved å utnytte CVE-2018-4233, en Safari WebKit-sårbarhet, gjennom ondsinnede HTML-sider for å kjøre kode. Dette fører til levering av en 64-bit Mach-O binær forkledd som en PNG-bildefil. Binærfilen trekker deretter ut og kjører et skallskript som henter ytterligere nyttelast: en privilegieeskaleringsutnyttelse, et krypterings-/dekrypteringsverktøy og et ZIP-arkiv. Skriptet tildeler root-privilegier til de utpakkede filene, og setter opp utholdenhet for spionvaren å starte etter at systemet starter på nytt.
Mulighetene til LightSpy
MacOS-versjonen av LightSpy støtter ti plugins designet for ulike ondsinnede aktiviteter. Disse inkluderer å ta opp lyd fra mikrofonen, ta bilder, ta opp skjermaktivitet, høste og slette filer, utføre skallkommandoer, liste installerte applikasjoner og kjørende prosesser, og trekke ut data fra nettlesere (Safari og Google Chrome) og iCloud nøkkelring. I tillegg aktiverer plugins fangst av informasjon om andre enheter på samme nettverk, listen over Wi-Fi-nettverk enheten har koblet til, og detaljer om nærliggende Wi-Fi-nettverk.
Kommando-og-kontroll-infrastruktur
LightSpy Core-komponenten etablerer kontakt med en kommando-og-kontroll-server (C2), slik at den kan motta kommandoer og laste ned plugins. Både Core og plugins kan oppdateres dynamisk via C2-kommandoer. ThreatFabric oppdaget en feilkonfigurasjon som tillot tilgang til C2-panelet, som inkluderte informasjon om ofre og tilhørende data.
Bredere kontekst av mobile trusler
Denne oppdagelsen er en del av en større trend med skadelig programvare rettet mot mobile enheter. Android-enheter, for eksempel, har blitt angrepet med kjente banktrojanere som BankBot og SpyNote, spesielt i Usbekistan og Brasil, og via etterligning av en meksikansk telekomleverandør for å infisere brukere i Latin-Amerika og Karibia. Samtidig rapporterte Access Now og Citizen Lab Pegasus spyware-angrep på russisk og hviterussisktalende aktivister og journalister i Latvia, Litauen og Polen. Disse angrepene, som dateres tilbake til minst 2020, har intensivert etter Russlands invasjon av Ukraina i februar 2022. NSO-gruppen, som produserer Pegasus-spionprogrammer, uttalte at de kun selger verktøyene sine til nasjoner alliert med Israel og USA og lovet å undersøke disse rapportene .
Oppdagelsen av LightSpy-spywarevarianten for macOS fremhever den utviklende og sofistikerte naturen til cybertrusler. Denne utviklingen understreker viktigheten av robuste cybersikkerhetstiltak og kontinuerlig årvåkenhet på tvers av alle plattformer for å beskytte brukere mot så gjennomgripende og adaptiv skadelig programvare.
