安全专家发现针对 MacOS 系统的复杂 LightSpy 间谍软件

ThreatFabric 的研究人员发现LightSpy间谍软件的 macOS 版本,该版本至少自 2024 年 1 月以来一直在野外活跃。

ThreatFabric 观察到atfm者使用两个公开可用的漏洞(CVE-2018-4233、CVE-2018-4404)来传播 macOS 植入程序。研究人员注意到,CVE-2018-4404 漏洞的一部分可能借用自 Metasploit 框架。

LightSpy 的 macOS 版本支持 10 个插件,可以从MacOS移动设备中窃取私人信息。

LightSpy 是一款模块化间谍软件,在几个月沉寂之后再次出现,新版本支持具有广泛的间谍功能模块化框架。

LightSpy 可以从 Telegram、QQ 和微信等多个流行应用程序中窃取文件,以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据,包括浏览器历史记录、WiFi 连接列表、已安装的应用程序详细信息,甚至是设备摄像头捕获的图像。

该恶意软件还授予攻击者访问设备系统的权限,使他们能够检索用户 KeyChain 数据、设备列表并执行 shell 命令,从而有可以完全控制受害者设备。

研究人员报告称,从 2024 年 1 月 11 日开始,多个包含数字“96382741”的 URL 被上传到 VirusTotal。这些 URL 指向 GitHub 上发布的 HTML 和 JavaScript 文件,这些文件与 CVE-2018-4233 漏洞有关。

该漏洞位于 WebKit 中,影响 macOS 版本 10.13.3 和 11.4 之前的 iOS 版本。研究人员注意到,数字“96382741”以前曾被用作托管 Android 和 iOS 的 LightSpy 恶意软件文件的路径名。

640

“初始攻击者使用与 iOS 植入物分发相同的方法:触发 Safari 中的 WebKit 漏洞以执行非特权任意代码执行。对于 macOS,攻击者使用 CVE-2018-4233 漏洞,其源代码于 2018 年 8 月 18 日发布。”

ThreatFabric 发布的分析报告写道:“由于该漏洞影响 iOS 和 macOS WebKit,因此 iOS 和 macOS 植入物可能已经以相同的方式传播了一段时间。不同之处在于横向本地特权提升,这是针对特定操作系统。”

macOS 版本的插件与其他平台的插件不同,反映了目标系统的架构。与移动版本相比,桌面版本的渗透功能较少。

研究人员检查了所有已知的与 LightSpy 相关的主机,除了 103.27.109[.]217 之外,无法确认任何与 macOS 活动相关的主机。在与 LightSpy 相关的其他几个主机上发现了几乎相同的面板。

2024 年 3 月 21 日,该恶意软件管理面板首次出现在 VirusTotal 上,显示为网页背景。

640
640

第二天,面板 URL 也在 VirusTotal 上被发现,它与 Android LightSpy 相关联。初步分析显示,面板代码存在一个严重错误:它仅在加载所有脚本后才检查授权,会向未经授权的用户短暂显示经过身份验证的视图。

640

在窗口的右上角,有一个标有“远程控制平台”的按钮,指向同一控制服务器上的另一个面板。由于灾难性的配置错误,使得研究人员能够访问此面板,任何人都可以通过访问顶级面板来做同样的事情。这个面板包含有关受害者的全面信息,与本报告技术分析部分提供的所有泄露数据完全相关。

640

可以看到有三组不同的受害者:“202206”、“支持设备”和“default”。最后一组包含在与 C2 通信期间提供无效配置的受害者,我们可以高度肯定地说这些设备是安全研究人员的设备。

通过分析面板中的受害者列表,研究人员得出结论,其中一些受害者本身可能就是攻击者。例如,其中一台设备的浏览器历史记录中充满了指向 HTML 文件的 URL,该文件具有初始感染媒介的 RCE 漏洞。

640

研究人员确信 LightSpy for macOS 攻击者团伙专注于拦截受害者的通信,例如 Messenger 对话和语音记录。对于 macOS,设计了一个专门用于网络发现的插件,旨在识别靠近受害者的设备。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/QrlpbtUe770pF3oidYU4uw

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞13 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容