详细内容或原文请订阅后点击阅览
LightSpy:macOS 上的通用间谍
最初,移动恶意软件将重点转移到桌面平台。
来源:安全实验室新闻频道最初,移动恶意软件将重点转移到桌面平台。
名为 LightSpy 的恶意软件以前仅攻击 Android 和 iOS,现在已在 macOS 上被发现,证实了其广泛的数据收集功能。
macOSLightSpy 是一个模块化间谍框架,用于窃取各种信息,包括文件、屏幕截图、位置数据、微信语音通话录音以及来自 Telegram 和 QQ Messenger 的数据。
根据 ThreatFabric 的一份新报告,macOS 版本的 LightSpy 自 2024 年 1 月以来一直在活跃使用,尽管到目前为止它仅在测试环境和研究人员自己的一些受感染设备中活跃。
新报告专家通过利用配置漏洞获得了 LightSpy 控制面板的访问权限,这使他们能够了解受感染设备的功能、基础设施和列表。
攻击者利用 WebKit 漏洞(CVE-2018-4233 和 CVE-2018-4404)在 macOS 10.13.3 及更早版本的 Safari 中执行代码。
CVE-2018-4233 CVE-2018-4404最初,伪装成 PNG 图像(“20004312341.png”)的 64 位二进制 MachO 文件被传送到设备。然后,该文件解密并执行嵌入脚本以加载下一阶段。
第二阶段已经下载了权限升级漏洞(“ssudo”)、加密/解密实用程序(“ddss”)和带有两个可执行文件(“update”和“update”)的 ZIP 存档(“mac.zip”) .plist”)。
然后,该脚本获得受感染设备的 root 访问权限,并通过配置“更新”在系统启动时运行来建立系统稳定性。
下一步由“macircloader”组件执行,该组件下载、解密并执行 LightSpy Core,管理间谍软件插件并负责与命令和控制服务器通信。
攻击模式
攻击模式尽管该恶意软件使用了 14 个 Android 插件和 16 个 iOS 插件,但 macOS 版本仅使用以下 10 个: