Użytkownicy komputerów z systemem MacOS cierpią z powodu ataku oprogramowania szpiegującego LightSpy

mac computer

Badacze zajmujący się cyberbezpieczeństwem odkryli niedawno nieudokumentowany wcześniej wariant oprogramowania szpiegującego LightSpy atakującego użytkowników systemu macOS. Odkrycie to, początkowo zidentyfikowane jako zagrożenie dla użytkowników Apple iOS, wskazuje na szerszy zakres możliwości szkodliwego oprogramowania. Huntress Labs i ThreatFabric niezależnie przeanalizowały artefakty związane z tym wieloplatformowym środowiskiem złośliwego oprogramowania, ujawniając jego potencjał do infekowania wielu systemów operacyjnych, w tym Android, iOS, Windows, macOS, Linux, a nawet routerów firm NETGEAR, Linksys i ASUS.

Exploity wykorzystywane przez LightSpy

Według ThreatFabric ugrupowania zagrażające wykorzystały dwa publicznie dostępne exploity, CVE-2018-4233 i CVE-2018-4404, aby dostarczyć implanty do systemu macOS. Warto zauważyć, że część exploita CVE-2018-4404 wydaje się pochodzić ze środowiska Metasploit i atakować konkretnie system macOS w wersji 10.

Ewolucja i połączenie z innym złośliwym oprogramowaniem

LightSpy zostało po raz pierwszy ujawnione publicznie w 2020 r. Późniejsze dochodzenie przeprowadzone przez firmę Lookout i holenderską firmę zajmującą się bezpieczeństwem mobilnym wykazało możliwe powiązania między LightSpy a narzędziem do nadzoru dla Androida znanym jako DragonEgg. W kwietniu firma BlackBerry ujawniła wznowioną kampanię cyberszpiegowską skierowaną do użytkowników z Azji Południowej, dostarczając wersję LightSpy na iOS. Jednak obecnie odkryto, że bardziej wyrafinowany wariant systemu macOS wykorzystuje system oparty na wtyczkach do gromadzenia różnego rodzaju informacji.

Bieżąca kampania i zakres

Chociaż próbka oprogramowania szpiegującego z Indii została niedawno przesłana do VirusTotal, badacze firmy Huntress, Stuart Ashenbrenner i Alden Schmidt, przestrzegają przed wyciąganiem pochopnych wniosków na temat aktywnej kampanii lub kierowania na region bez bardziej konkretnych dowodów. Analiza ThreatFabric wskazuje, że ten wariant systemu macOS jest aktywny co najmniej od stycznia 2024 r., choć wydaje się, że jest ograniczony do około 20 urządzeń testowych.

Mechanizm ataku

Atak rozpoczyna się od wykorzystania luki CVE-2018-4233 w przeglądarce Safari WebKit i wykorzystania złośliwych stron HTML w celu wykonania kodu. Prowadzi to do dostarczenia 64-bitowego pliku binarnego Mach-O zamaskowanego jako plik obrazu PNG. Następnie plik binarny wyodrębnia i uruchamia skrypt powłoki, który pobiera dodatkowe ładunki: exploit zwiększający uprawnienia, narzędzie do szyfrowania/deszyfrowania oraz archiwum ZIP. Skrypt przypisuje uprawnienia roota do wyodrębnionych plików, konfigurując trwałość oprogramowania szpiegującego do uruchomienia po ponownym uruchomieniu systemu.

Możliwości LightSpy'a

Wersja LightSpy na macOS obsługuje dziesięć wtyczek zaprojektowanych do różnych złośliwych działań. Obejmują one przechwytywanie dźwięku z mikrofonu, robienie zdjęć, nagrywanie aktywności na ekranie, zbieranie i usuwanie plików, wykonywanie poleceń powłoki, wyświetlanie listy zainstalowanych aplikacji i uruchomionych procesów oraz wyodrębnianie danych z przeglądarek internetowych (Safari i Google Chrome) oraz pęku kluczy iCloud. Dodatkowo wtyczki umożliwiają przechwytywanie informacji o innych urządzeniach w tej samej sieci, listy sieci Wi-Fi, z którymi urządzenie się połączyło oraz szczegółów pobliskich sieci Wi-Fi.

Infrastruktura dowodzenia i kontroli

Komponent LightSpy Core nawiązuje kontakt z serwerem dowodzenia i kontroli (C2), umożliwiając mu odbieranie poleceń i pobieranie wtyczek. Zarówno rdzeń, jak i wtyczki można aktualizować dynamicznie za pomocą poleceń C2. ThreatFabric wykrył błędną konfigurację umożliwiającą dostęp do panelu C2, który zawierał informacje o ofiarach i powiązane z nimi dane.

Szerszy kontekst zagrożeń mobilnych

Odkrycie to wpisuje się w szerszy trend dotyczący szkodliwego oprogramowania atakującego urządzenia mobilne. Na przykład urządzenia z systemem Android zostały zaatakowane przy użyciu znanych trojanów bankowych, takich jak BankBot i SpyNote, szczególnie w Uzbekistanie i Brazylii, a także poprzez podszywanie się pod meksykańskiego dostawcę usług telekomunikacyjnych w celu infekowania użytkowników w Ameryce Łacińskiej i na Karaibach. Jednocześnie Access Now i Citizen Lab zgłosiły ataki oprogramowania szpiegującego Pegasus na rosyjsko- i białoruskojęzycznych działaczy i dziennikarzy na Łotwie, Litwie i w Polsce. Ataki te, których początki sięgają co najmniej 2020 r., nasiliły się po inwazji Rosji na Ukrainę w lutym 2022 r. Grupa NSO, która produkuje oprogramowanie szpiegowskie Pegasus, oświadczyła, że sprzedaje swoje narzędzia wyłącznie krajom sprzymierzonym z Izraelem i Stanami Zjednoczonymi i obiecała zbadać te doniesienia .

Odkrycie wariantu oprogramowania szpiegującego LightSpy dla systemu macOS uwydatnia ewoluującą i wyrafinowaną naturę cyberzagrożeń. Rozwój ten podkreśla znaczenie solidnych środków cyberbezpieczeństwa i ciągłej czujności na wszystkich platformach w celu ochrony użytkowników przed tak wszechobecnym i adaptacyjnym złośliwym oprogramowaniem.

Do Zane
June 10, 2024
Mac Malware
Polski
June 10, 2024
Mac Malware

Popularne posty

Zrozumienie złośliwego oprogramowania ATM w UE: rosnące...

13 days temu

Co to jest oprogramowanie ransomware BO Team?

6 months temu

Błąd: wyskakujące okienko Ox800VDS

3 months temu

Roun.co.in: Co to jest ten porywacz przeglądarki

12 days temu

Jak zatrzymać i usunąć rozszerzenie przeglądarki GuardGo oraz...

17 days temu

Remor.xyz Porywacz przeglądarki

2 months temu
Polski
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Dom

Produkty

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Wsparcie

Pliki pomocy FAQ Downloads Inquiries & Support

Firma

O nas Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Polityka prywatności Polityka Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows jest znakiem towarowym firmy Microsoft, zarejestrowanym w Stanach Zjednoczonych i innych krajach.
Mac, iPhone, iPad i App Store są znakami towarowymi firmy Apple Inc., zarejestrowanymi w Stanach Zjednoczonych i innych krajach.
iOS jest zastrzeżonym znakiem towarowym firmy Cisco Systems, Inc. i/lub jej oddziałów w Stanach Zjednoczonych i niektórych innych krajach.
Android i Google Play są znakami towarowymi firmy Google LLC.