LightSpy-Spyware
Sicherheitsanalysten haben enthüllt, dass die LightSpy-Spyware, die ursprünglich auf Apple iOS-Benutzer abzielte, eine nicht dokumentierte macOS-Variante der Malware ist. Diese Erkenntnisse stammen von Cybersicherheitsspezialisten, die die Spuren dieser plattformübergreifenden Bedrohung untersucht haben. Das Malware-Framework hat wahrscheinlich das Potenzial, eine Vielzahl von Systemen zu infizieren, darunter Android, iOS, Windows, macOS und Linux sowie Router von NETGEAR, Linksys und ASUS.
Inhaltsverzeichnis
Cyberkriminelle nutzen Schwachstellen aus, um Geräte mit LightSpy zu infizieren
Die Bedrohungsakteurgruppe nutzte zwei öffentlich verfügbare Exploits (CVE-2018-4233, CVE-2018-4404), um Implantate auf macOS bereitzustellen, wobei ein Teil von CVE-2018-4404 möglicherweise aus dem Metasploit-Framework stammt. Die Exploits zielten auf macOS Version 10 ab.
LightSpy wurde erstmals im Jahr 2020 gemeldet und seitdem mit einem Android-Überwachungstool namens DragonEgg in Verbindung gebracht.
Im April 2024 enthüllten Forscher eine „erneute“ Cyberspionagekampagne, die sich an Benutzer in Südasien richtete und zunächst eine iOS-Version von LightSpy liefern sollte. Es stellte sich jedoch heraus, dass es sich um eine ausgefeiltere macOS-Variante handelte, die ein Plugin-basiertes System zum Sammeln verschiedener Arten von Informationen verwendet.
Angriffskette der LightSpy-Kampagne
Analysen deuten darauf hin, dass die macOS-Variante mindestens seit Januar 2024 im Umlauf ist und auf etwa 20 Geräte abzielt, bei den meisten dürfte es sich um Testgeräte handeln.
Die Angriffssequenz beginnt mit der Ausnutzung von CVE-2018-4233, einer Sicherheitslücke in Safari WebKit, durch Bedrohung von HTML-Seiten, die die Ausführung von Code auslösen. Dies führt zur Bereitstellung einer 64-Bit-Mach-O-Binärdatei, die als PNG-Bilddatei getarnt ist.
Die Hauptfunktion der Binärdatei besteht darin, ein Shell-Skript zu extrahieren und auszuführen, das dann drei zusätzliche Nutzdaten abruft: einen Exploit zur Rechteausweitung, ein Verschlüsselungs-/Entschlüsselungstool und ein ZIP-Archiv.
Anschließend entpackt das Skript das ZIP-Archiv, das die Dateien „update“ und „update.plist“ enthält, und weist beiden Root-Rechte zu. Die Datei „plist“ sorgt für Persistenz und stellt sicher, dass die andere Datei nach jedem Systemneustart gestartet wird.
Schädliche Plugins ermöglichen Cyberkriminellen die Erfassung zahlreicher Daten
Die „Update“-Datei, auch als macircloader bekannt, dient als Loader für die LightSpy Core-Komponente. Diese Komponente ermöglicht die Kommunikation mit einem Command-and-Control-Server (C2) und ermöglicht den Abruf von Befehlen und das Herunterladen von Plugins.
Die macOS-Version unterstützt 10 verschiedene Plug-Ins, die verschiedene Funktionen ermöglichen, beispielsweise die Audioaufnahme vom Mikrofon, das Aufnehmen von Fotos, das Aufzeichnen der Bildschirmaktivität, das Sammeln und Löschen von Dateien, das Ausführen von Shell-Befehlen, das Abrufen von Listen installierter Anwendungen und laufender Prozesse sowie das Extrahieren von Daten aus Webbrowsern (Safari und Google Chrome) und dem iCloud-Schlüsselbund.
Darüber hinaus erleichtern zwei weitere Plug-Ins das Sammeln von Informationen über andere Geräte, die zum selben Netzwerk gehören, indem sie die WLAN-Netzwerke auflisten, mit denen das Gerät verbunden ist, und Details zu WLAN-Netzwerken in der Nähe bereitstellen.
Unabhängig von der Zielplattform bestand das Hauptziel der Bedrohungsakteure darin, die Kommunikation der Opfer abzufangen, darunter Messenger-Gespräche und Sprachaufzeichnungen. Ein spezielles Plugin für macOS wurde speziell für die Netzwerkerkennung entwickelt, mit dem Ziel, Geräte in der Nähe des Standorts des Opfers zu identifizieren.
