MacOS-datoranvändare lider av LightSpy Spyware Attack

mac computer

Cybersäkerhetsforskare har nyligen upptäckt en tidigare odokumenterad variant av LightSpy-spionprogram som riktar sig till macOS-användare. Ursprungligen identifierades som ett hot mot Apple iOS-användare, denna upptäckt indikerar en bredare omfattning av skadlig programvaras kapacitet. Huntress Labs och ThreatFabric analyserade oberoende artefakterna förknippade med detta plattformsoberoende ramverk för skadlig programvara, och avslöjade dess potential att infektera flera operativsystem, inklusive Android, iOS, Windows, macOS, Linux och till och med routrar från NETGEAR, Linksys och ASUS.

Exploater som används av LightSpy

Enligt ThreatFabric använde hotaktörerna två allmänt tillgängliga exploateringar, CVE-2018-4233 och CVE-2018-4404, för att leverera implantaten på macOS. Noterbart verkar en del av CVE-2018-4404-exploatet härröra från Metasploit-ramverket, specifikt inriktat på macOS version 10.

Evolution och anslutning till annan skadlig programvara

LightSpy rapporterades först offentligt 2020. Efterföljande undersökningar av Lookout och ett holländskt mobilsäkerhetsföretag antydde möjliga kopplingar mellan LightSpy och ett Android-övervakningsverktyg känt som DragonEgg. I april avslöjade BlackBerry en förnyad cyberspionagekampanj riktad mot sydasiatiska användare, och levererade en iOS-version av LightSpy. Men det har nu visat sig att en mer sofistikerad macOS-variant använder ett plugin-baserat system för att samla in olika typer av information.

Aktuell kampanj och omfattning

Medan ett urval av spionprogram nyligen laddades upp till VirusTotal från Indien, varnar Huntress-forskarna Stuart Ashenbrenner och Alden Schmidt för att dra slutsatser om en aktiv kampanj eller regional inriktning utan mer konkreta bevis. ThreatFabrics analys indikerar att denna macOS-variant har varit aktiv sedan åtminstone januari 2024, även om den verkar vara begränsad till cirka 20 testenheter.

Attackmekanism

Attacken initieras genom att CVE-2018-4233, en Safari WebKit-sårbarhet, utnyttjas genom skadliga HTML-sidor för att exekvera kod. Detta leder till leverans av en 64-bitars Mach-O-binär förklädd som en PNG-bildfil. Binären extraherar och kör sedan ett skalskript som hämtar ytterligare nyttolaster: en privilegieupptrappning, ett krypterings-/dekrypteringsverktyg och ett ZIP-arkiv. Skriptet tilldelar root-privilegier till de extraherade filerna och ställer in beständighet för spionprogrammet att starta efter omstart av systemet.

LightSpys funktioner

MacOS-versionen av LightSpy stöder tio plugins som är utformade för olika skadliga aktiviteter. Dessa inkluderar att fånga ljud från mikrofonen, ta bilder, spela in skärmaktivitet, skörda och ta bort filer, utföra skalkommandon, lista installerade applikationer och köra processer och extrahera data från webbläsare (Safari och Google Chrome) och iCloud Keychain. Dessutom möjliggör plugins infångning av information om andra enheter på samma nätverk, listan över Wi-Fi-nätverk enheten har anslutit till och detaljer om närliggande Wi-Fi-nätverk.

Kommando-och-kontroll-infrastruktur

LightSpy Core-komponenten upprättar kontakt med en kommando-och-kontroll-server (C2), vilket gör att den kan ta emot kommandon och ladda ner plugins. Både Core och plugins kan uppdateras dynamiskt via C2-kommandon. ThreatFabric upptäckte en felaktig konfiguration som tillät åtkomst till C2-panelen, som inkluderade information om offer och deras tillhörande data.

Bredare sammanhang av mobilhot

Denna upptäckt är en del av en större trend av skadlig programvara som riktar sig mot mobila enheter. Android-enheter, till exempel, har attackerats med kända banktrojaner som BankBot och SpyNote, särskilt i Uzbekistan och Brasilien, och genom att vara en mexikansk telekomleverantör för att infektera användare i Latinamerika och Karibien. Samtidigt rapporterade Access Now och Citizen Lab Pegasus spionprogram attacker mot rysk- och vitrysktalande aktivister och journalister i Lettland, Litauen och Polen. Dessa attacker, som går tillbaka till åtminstone 2020, har intensifierats efter Rysslands invasion av Ukraina i februari 2022. NSO Group, som tillverkar Pegasus spionprogram, uppgav att de bara säljer sina verktyg till nationer som är allierade med Israel och USA och lovade att undersöka dessa rapporter .

Upptäckten av LightSpy-spywarevarianten för macOS belyser cyberhotens utvecklande och sofistikerade karaktär. Denna utveckling understryker vikten av robusta cybersäkerhetsåtgärder och kontinuerlig vaksamhet över alla plattformar för att skydda användare från sådan genomgripande och adaptiv skadlig programvara.

År Zane
June 10, 2024
Mac Malware
Svenska
June 10, 2024
Mac Malware

Populära inlägg

Förstå EU ATM Malware: A Growing Cyber Threat

13 days sedan

Vad är BO Team Ransomware?

6 months sedan

Fel: Ox800VDS popup-bedrägeri

3 months sedan

Roun.co.in: Vad är denna webbläsarkapare

12 days sedan

Hur man stoppar och tar bort GuardGo webbläsartillägg och kapare

17 days sedan

Remor.xyz webbläsarkapare

2 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.