Пользователи компьютеров MacOS страдают от атаки шпионского ПО LightSpy
Исследователи кибербезопасности недавно обнаружили ранее недокументированный вариант шпионского ПО LightSpy, нацеленного на пользователей macOS. Это открытие, первоначально идентифицированное как угроза для пользователей Apple iOS, указывает на более широкий спектр возможностей вредоносного ПО. Huntress Labs и ThreatFabric независимо проанализировали артефакты, связанные с этой кроссплатформенной вредоносной средой, и выявили ее потенциал для заражения нескольких операционных систем, включая Android, iOS, Windows, macOS, Linux и даже маршрутизаторы NETGEAR, Linksys и ASUS.
Table of Contents
Эксплойты, используемые LightSpy
По данным ThreatFabric, для установки имплантатов на macOS злоумышленники использовали два общедоступных эксплойта: CVE-2018-4233 и CVE-2018-4404. Примечательно, что часть эксплойта CVE-2018-4404, судя по всему, получена из платформы Metasploit и специально нацелена на macOS версии 10.
Эволюция и связь с другими вредоносными программами
Впервые о LightSpy стало публично известно в 2020 году. Последующие расследования, проведенные Lookout и голландской фирмой по обеспечению мобильной безопасности, показали возможную связь между LightSpy и инструментом наблюдения для Android, известным как DragonEgg. В апреле BlackBerry объявила о возобновленной кампании кибершпионажа, нацеленной на пользователей из Южной Азии, представив версию LightSpy для iOS. Однако теперь выяснилось, что более сложный вариант macOS использует систему на основе плагинов для сбора различных типов информации.
Текущая кампания и масштаб
Хотя образец шпионского ПО был недавно загружен на VirusTotal из Индии, исследователи Huntress Стюарт Ашенбреннер и Олден Шмидт предостерегают от поспешных выводов об активной кампании или региональном таргетировании без более конкретных доказательств. Анализ ThreatFabric показывает, что этот вариант macOS активен как минимум с января 2024 года, хотя, похоже, он ограничен примерно 20 тестовыми устройствами.
Механизм атаки
Атака начинается с использования CVE-2018-4233, уязвимости Safari WebKit, через вредоносные HTML-страницы для выполнения кода. Это приводит к доставке 64-битного двоичного файла Mach-O, замаскированного под файл изображения PNG. Затем двоичный файл извлекает и запускает сценарий оболочки, который извлекает дополнительные полезные данные: эксплойт повышения привилегий, утилиту шифрования/дешифрования и ZIP-архив. Скрипт присваивает извлеченным файлам root-права, настраивая сохранение запуска шпионского ПО после перезагрузки системы.
Возможности LightSpy
Версия LightSpy для macOS поддерживает десять плагинов, предназначенных для различных вредоносных действий. К ним относятся захват звука с микрофона, фотографирование, запись активности на экране, сбор и удаление файлов, выполнение команд оболочки, составление списка установленных приложений и запущенных процессов, а также извлечение данных из веб-браузеров (Safari и Google Chrome) и iCloud Keychain. Кроме того, плагины позволяют собирать информацию о других устройствах в той же сети, список сетей Wi-Fi, к которым подключено устройство, а также сведения о близлежащих сетях Wi-Fi.
Инфраструктура управления и контроля
Компонент LightSpy Core устанавливает контакт с сервером управления и контроля (C2), позволяя ему получать команды и загружать плагины. И ядро, и плагины можно обновлять динамически с помощью команд C2. ThreatFabric обнаружил неправильную конфигурацию, которая позволила получить доступ к панели C2, которая содержала информацию о жертвах и связанные с ними данные.
Более широкий контекст мобильных угроз
Это открытие является частью более широкой тенденции вредоносного ПО, нацеленного на мобильные устройства. Устройства Android, например, подвергались атакам с помощью известных банковских троянов, таких как BankBot и SpyNote, особенно в Узбекистане и Бразилии, а также путем выдачи себя за мексиканского телекоммуникационного провайдера для заражения пользователей в Латинской Америке и странах Карибского бассейна. Одновременно Access Now и Citizen Lab сообщили об атаках шпионского ПО Pegasus на русскоязычных и белорусскоязычных активистов и журналистов в Латвии, Литве и Польше. Эти атаки, начавшиеся как минимум в 2020 году, усилились после вторжения России в Украину в феврале 2022 года. Группа NSO, производящая шпионское ПО Pegasus, заявила, что продает свои инструменты только странам-союзникам Израиля и США, и пообещала расследовать эти сообщения. .
Обнаружение варианта шпионского ПО LightSpy для macOS подчеркивает развивающийся и изощренный характер киберугроз. Это событие подчеркивает важность надежных мер кибербезопасности и постоянной бдительности на всех платформах для защиты пользователей от таких широко распространенных и адаптивных вредоносных программ.
