Cybersecurity-onderzoekers hebben onthuld dat de LichtSpy De spyware die naar verluidt op Apple iOS-gebruikers is gericht, is in feite een voorheen ongedocumenteerde macOS-variant van het implantaat.
De bevindingen zijn afkomstig van zowel Huntress Labs als ThreatFabric, die afzonderlijk de artefacten analyseerden die verband houden met het platformonafhankelijke malwareframework dat waarschijnlijk mogelijkheden bezit om Android, iOS, Windows, macOS, Linux en routers van NETGEAR, Linksys en ASUS te infecteren.
“De Threat-acteursgroep heeft twee openbaar beschikbare exploits (CVE-2018-4233, CVE-2018-4404) gebruikt om implantaten voor macOS te leveren”, aldus ThreatFabric in een rapport dat vorige week werd gepubliceerd. “Een deel van de CVE-2018-4404-exploit is waarschijnlijk ontleend aan het Metasploit-framework. MacOS versie 10 was het doelwit van deze exploits.”
LightSpy werd voor het eerst publiekelijk gerapporteerd in 2020, hoewel latere rapporten van Lookout en het Nederlandse mobiele beveiligingsbedrijf mogelijke verbanden hebben onthuld tussen de spyware en een Android-bewakingstool genaamd DragonEgg.
Eerder in april maakte BlackBerry bekend dat het een “vernieuwde” cyberspionagecampagne was die zich richtte op gebruikers in Zuid-Azië om een iOS-versie van LightSpy te leveren. Maar nu is gebleken dat dit een veel verfijndere macOS-versie is die een op plug-ins gebaseerd systeem gebruikt om verschillende soorten informatie te verzamelen.
“Het is ook de moeite waard om op te merken dat, hoewel dit voorbeeld onlangs vanuit India naar VirusTotal is geüpload, dit geen bijzonder sterke indicator is van een actieve campagne, noch van targeting binnen de regio”, aldus Huntress-onderzoekers Stuart Ashenbrenner en Alden Schmidt.
“Het is een bijdragende factor, maar zonder meer concreet bewijs of inzicht in de leveringsmechanismen moet dit met een zware korrel zout worden genomen.”
Uit de analyse van ThreatFabric is gebleken dat de macOS-smaak al sinds januari 2024 actief is in het wild, maar beperkt is tot ongeveer twintig apparaten, waarvan het merendeel testapparaten zijn.
De aanvalsketen begint met de exploitatie van CVE-2018-4233, een fout in Safari WebKit, via frauduleuze HTML-pagina's om de uitvoering van code te activeren, wat leidt tot de levering van een 64-bits MachO-binair bestand dat zich voordoet als een PNG-afbeeldingsbestand.
Het binaire bestand is in de eerste plaats ontworpen om een shellscript te extraheren en te starten dat op zijn beurt drie extra payloads ophaalt: een privilege-escalatie-exploit, een hulpprogramma voor encryptie/decryptie en een ZIP-archief.
Het script extraheert vervolgens de inhoud van het ZIP-archief (update en update.plist) en kent aan beide root-rechten toe. Het bestand met de informatie-eigenschappenlijst (plist) wordt gebruikt om persistentie voor het andere bestand in te stellen, zodat het elke keer wordt gestart nadat het systeem opnieuw is opgestart.
Het “update”-bestand (ook bekend als macircloader) fungeert als een lader voor de LightSpy Core-component, waardoor deze laatste contact kan maken met een command-and-control (C2)-server en opdrachten kan ophalen en plug-ins kan downloaden.
De macOS-versie wordt geleverd met ondersteuning voor 10 verschillende plug-ins om audio van de microfoon vast te leggen, foto's te maken, schermactiviteit op te nemen, bestanden te verzamelen en te verwijderen, shell-opdrachten uit te voeren, de lijst met geïnstalleerde applicaties en actieve processen op te halen en gegevens uit webbrowsers te extraheren ( Safari en Google Chrome) en iCloud-sleutelhanger.
Twee andere plug-ins maken het verder mogelijk om informatie vast te leggen over alle andere apparaten die zijn verbonden met hetzelfde netwerk als het slachtoffer, de lijst met wifi-netwerken waarmee het apparaat is verbonden en details over de nabijgelegen wifi-netwerken.
“De Core fungeert als opdrachtverzender en extra plug-ins breiden de functionaliteit uit”, aldus ThreatFabric. “Zowel de Core als de plug-ins kunnen dynamisch worden bijgewerkt door een commando van C2.”
Het cybersecuritybedrijf zei een verkeerde configuratie te hebben gevonden die het mogelijk maakte toegang te krijgen tot het C2-paneel, inclusief een platform voor afstandsbediening, dat informatie over de slachtoffers en de bijbehorende gegevens bevat.
“Ongeacht het beoogde platform concentreerde de groep van bedreigingsactoren zich op het onderscheppen van slachtoffercommunicatie, zoals messenger-gesprekken en stemopnames”, aldus het bedrijf. “Voor macOS is een gespecialiseerde plug-in ontworpen voor netwerkdetectie, met als doel apparaten in de buurt van het slachtoffer te identificeren.”
De ontwikkeling komt doordat Android-apparaten het doelwit zijn van bekende banktrojans zoals BankBot en SpyNote bij aanvallen gericht op gebruikers van apps voor mobiel bankieren in Oezbekistan en Brazilië, en door zich voor te doen als een telecomprovider uit Mexico om gebruikers in Latijns-Amerika en het Caribisch gebied te infecteren. .
Het komt ook omdat een rapport van Access Now en het Citizen Lab bewijs heeft onthuld van Pegasus-spyware-aanvallen gericht op zeven Russisch- en Wit-Russisch sprekende oppositieactivisten en onafhankelijke media in Letland, Litouwen en Polen.
“Het gebruik van Pegasus-spyware om Russisch- en Wit-Russisch sprekende journalisten en activisten aan te vallen dateert van minstens 2020, met meer aanvallen na de grootschalige invasie van Oekraïne in februari 2022 door Rusland”, aldus Access Now, waaraan “een enkele Pegasus-spyware” werd toegevoegd. De operator zit mogelijk achter de doelwitten van ten minste drie van de slachtoffers en mogelijk alle vijf.”