Usuários de computador MacOS sofrem ataque de spyware LightSpy
Pesquisadores de segurança cibernética descobriram recentemente uma variante anteriormente não documentada do spyware LightSpy visando usuários do macOS. Inicialmente identificada como uma ameaça aos usuários do Apple iOS, esta descoberta indica um escopo mais amplo das capacidades do malware. Huntress Labs e ThreatFabric analisaram de forma independente os artefatos associados a essa estrutura de malware multiplataforma, revelando seu potencial para infectar vários sistemas operacionais, incluindo Android, iOS, Windows, macOS, Linux e até mesmo roteadores da NETGEAR, Linksys e ASUS.
Table of Contents
Explorações usadas pelo LightSpy
De acordo com o ThreatFabric, os agentes da ameaça utilizaram duas explorações disponíveis publicamente, CVE-2018-4233 e CVE-2018-4404, para entregar os implantes no macOS. Notavelmente, parte da exploração CVE-2018-4404 parece ser derivada da estrutura Metasploit, visando especificamente a versão 10 do macOS.
Evolução e conexão com outros malwares
O LightSpy foi relatado publicamente pela primeira vez em 2020. Investigações subsequentes da Lookout e de uma empresa holandesa de segurança móvel sugeriram possíveis conexões entre o LightSpy e uma ferramenta de vigilância Android conhecida como DragonEgg. Em abril, a BlackBerry divulgou uma campanha renovada de espionagem cibernética visando usuários do sul da Ásia, oferecendo uma versão iOS do LightSpy. No entanto, descobriu-se agora que uma variante mais sofisticada do macOS emprega um sistema baseado em plugins para coletar vários tipos de informações.
Campanha e escopo atuais
Embora uma amostra do spyware tenha sido recentemente carregada no VirusTotal da Índia, os pesquisadores da Huntress, Stuart Ashenbrenner e Alden Schmidt, alertam contra tirar conclusões precipitadas sobre uma campanha ativa ou segmentação regional sem evidências mais concretas. A análise do ThreatFabric indica que esta variante do macOS está ativa pelo menos desde janeiro de 2024, embora pareça estar limitada a cerca de 20 dispositivos de teste.
Mecanismo de Ataque
O ataque começa explorando CVE-2018-4233, uma vulnerabilidade do Safari WebKit, por meio de páginas HTML maliciosas para executar código. Isso leva à entrega de um binário Mach-O de 64 bits disfarçado como um arquivo de imagem PNG. O binário então extrai e executa um script de shell que busca cargas adicionais: uma exploração de escalonamento de privilégios, um utilitário de criptografia/descriptografia e um arquivo ZIP. O script atribui privilégios de root aos arquivos extraídos, configurando a persistência para o spyware ser iniciado após a reinicialização do sistema.
Capacidades do LightSpy
A versão macOS do LightSpy oferece suporte a dez plug-ins projetados para diversas atividades maliciosas. Isso inclui capturar áudio do microfone, tirar fotos, gravar atividades na tela, coletar e excluir arquivos, executar comandos shell, listar aplicativos instalados e processos em execução e extrair dados de navegadores da web (Safari e Google Chrome) e iCloud Keychain. Além disso, os plug-ins permitem a captura de informações sobre outros dispositivos na mesma rede, a lista de redes Wi-Fi às quais o dispositivo está conectado e detalhes de redes Wi-Fi próximas.
Infraestrutura de comando e controle
O componente LightSpy Core estabelece contato com um servidor de comando e controle (C2), permitindo receber comandos e baixar plugins. Tanto o Core quanto os plugins podem ser atualizados dinamicamente por meio de comandos C2. O ThreatFabric descobriu uma configuração incorreta que permitia o acesso ao painel C2, que incluía informações sobre as vítimas e seus dados associados.
Contexto mais amplo de ameaças móveis
Esta descoberta faz parte de uma tendência maior de malware direcionado a dispositivos móveis. Dispositivos Android, por exemplo, foram atacados por trojans bancários conhecidos como BankBot e SpyNote, particularmente no Uzbequistão e no Brasil, e através da representação de um fornecedor de telecomunicações mexicano para infectar utilizadores na América Latina e nas Caraíbas. Simultaneamente, o Access Now e o Citizen Lab relataram ataques de spyware Pegasus contra ativistas e jornalistas de língua russa e bielorrussa na Letónia, Lituânia e Polónia. Estes ataques, que remontam pelo menos a 2020, intensificaram-se após a invasão da Ucrânia pela Rússia em fevereiro de 2022. O Grupo NSO, que fabrica spyware Pegasus, afirmou que só vende as suas ferramentas a países aliados de Israel e dos EUA e prometeu investigar estes relatórios. .
A descoberta da variante de spyware LightSpy para macOS destaca a natureza evolutiva e sofisticada das ameaças cibernéticas. Este desenvolvimento sublinha a importância de medidas robustas de segurança cibernética e de vigilância contínua em todas as plataformas para proteger os utilizadores contra este malware difundido e adaptativo.
