MacOS-computergebruikers hebben last van een LightSpy-spyware-aanval

mac computer

Cybersecurity-onderzoekers hebben onlangs een voorheen ongedocumenteerde variant van de LightSpy-spyware ontdekt die zich richt op macOS-gebruikers. Aanvankelijk geïdentificeerd als een bedreiging voor Apple iOS-gebruikers, duidt deze ontdekking op een bredere reikwijdte van de mogelijkheden van de malware. Huntress Labs en ThreatFabric analyseerden onafhankelijk van elkaar de artefacten die verband houden met dit platformonafhankelijke malwareframework, en onthulden het potentieel ervan om meerdere besturingssystemen te infecteren, waaronder Android, iOS, Windows, macOS, Linux en zelfs routers van NETGEAR, Linksys en ASUS.

Exploits gebruikt door LightSpy

Volgens ThreatFabric hebben de bedreigingsactoren twee openbaar beschikbare exploits gebruikt, CVE-2018-4233 en CVE-2018-4404, om de implantaten op macOS te leveren. Met name lijkt een deel van de CVE-2018-4404-exploit afkomstig te zijn van het Metasploit-framework, dat specifiek gericht is op macOS versie 10.

Evolutie en verbinding met andere malware

LightSpy werd voor het eerst publiekelijk gerapporteerd in 2020. Latere onderzoeken door Lookout en een Nederlands mobiel beveiligingsbedrijf suggereerden mogelijke verbindingen tussen LightSpy en een Android-bewakingstool die bekend staat als DragonEgg. In april maakte BlackBerry een vernieuwde cyberspionagecampagne bekend gericht op Zuid-Aziatische gebruikers, waarbij een iOS-versie van LightSpy werd geleverd. Er is nu echter ontdekt dat een meer geavanceerde macOS-variant een op plug-ins gebaseerd systeem gebruikt om verschillende soorten informatie te verzamelen.

Huidige campagne en reikwijdte

Hoewel onlangs een voorbeeld van de spyware vanuit India naar VirusTotal is geüpload, waarschuwen Huntress-onderzoekers Stuart Ashenbrenner en Alden Schmidt ervoor niet te snel conclusies te trekken over een actieve campagne of regionale targeting zonder meer concreet bewijs. Uit de analyse van ThreatFabric blijkt dat deze macOS-variant al sinds januari 2024 actief is, al lijkt deze beperkt te blijven tot zo'n twintig testapparaten.

Aanvalsmechanisme

De aanval wordt gestart door misbruik te maken van CVE-2018-4233, een kwetsbaarheid in Safari WebKit, via kwaadaardige HTML-pagina's om code uit te voeren. Dit leidt tot de levering van een 64-bit Mach-O binair bestand, vermomd als een PNG-afbeeldingsbestand. Het binaire bestand extraheert en voert vervolgens een shellscript uit dat extra payloads ophaalt: een misbruik van privilege-escalatie, een hulpprogramma voor versleuteling/decodering en een ZIP-archief. Het script wijst root-rechten toe aan de uitgepakte bestanden, waardoor de spyware persistent wordt gemaakt nadat het systeem opnieuw is opgestart.

Mogelijkheden van LightSpy

De macOS-versie van LightSpy ondersteunt tien plug-ins die zijn ontworpen voor verschillende kwaadaardige activiteiten. Deze omvatten het vastleggen van audio van de microfoon, het maken van foto's, het opnemen van schermactiviteit, het verzamelen en verwijderen van bestanden, het uitvoeren van shell-opdrachten, het weergeven van geïnstalleerde applicaties en actieve processen, en het extraheren van gegevens uit webbrowsers (Safari en Google Chrome) en iCloud-sleutelhanger. Bovendien maken plug-ins het mogelijk om informatie vast te leggen over andere apparaten op hetzelfde netwerk, de lijst met Wi-Fi-netwerken waarmee het apparaat is verbonden en details van nabijgelegen Wi-Fi-netwerken.

Command-and-control-infrastructuur

De LightSpy Core-component maakt contact met een command-and-control (C2)-server, waardoor deze opdrachten kan ontvangen en plug-ins kan downloaden. Zowel de Core als de plug-ins kunnen dynamisch worden bijgewerkt via C2-opdrachten. ThreatFabric ontdekte een verkeerde configuratie die toegang gaf tot het C2-paneel, dat informatie over slachtoffers en de bijbehorende gegevens bevatte.

Bredere context van mobiele bedreigingen

Deze ontdekking maakt deel uit van een grotere trend waarbij malware zich richt op mobiele apparaten. Android-apparaten zijn bijvoorbeeld aangevallen met bekende banktrojans zoals BankBot en SpyNote, vooral in Oezbekistan en Brazilië, en via de nabootsing van een Mexicaanse telecomprovider om gebruikers in Latijns-Amerika en het Caribisch gebied te infecteren. Tegelijkertijd rapporteerden Access Now en het Citizen Lab Pegasus-spyware-aanvallen op Russisch- en Wit-Russisch sprekende activisten en journalisten in Letland, Litouwen en Polen. Deze aanvallen, die in ieder geval teruggaan tot 2020, zijn geïntensiveerd na de Russische invasie van Oekraïne in februari 2022. De NSO Group, die Pegasus-spyware produceert, verklaarde dat zij haar tools alleen verkoopt aan landen die banden hebben met Israël en de VS en beloofde deze rapporten te onderzoeken. .

De ontdekking van de LightSpy-spywarevariant voor macOS benadrukt het evoluerende en geavanceerde karakter van cyberdreigingen. Deze ontwikkeling onderstreept het belang van robuuste cyberbeveiligingsmaatregelen en voortdurende waakzaamheid op alle platforms om gebruikers te beschermen tegen dergelijke wijdverbreide en adaptieve malware.

Tegen Zane
June 10, 2024
Mac Malware
Nederlands
June 10, 2024
Mac Malware

Populaire posts

Inzicht in EU ATM-malware: een groeiende cyberdreiging

13 days geleden

Wat is BO Team-ransomware?

6 months geleden

Fout: Ox800VDS pop-upfraude

3 months geleden

Roun.co.in: Wat is deze browserkaper

12 days geleden

Hoe u de GuardGo-browserextensie en -kaper kunt stoppen en...

17 days geleden

Remor.xyz browserkaper

2 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.