LightSpy: универсальный шпион теперь на macOS

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Изначально мобильный вредонос сместил фокус на настольные платформы.

Вредоносное ПО под названием LightSpy, ранее известное только в атаках на Android и iOS, теперь замечено и на macOS, что подтверждает его широкие возможности по сбору данных.

LightSpy — это модульный шпионский фреймворк, который используется для кражи разнообразной информации, включая файлы, снимки экрана, данные о местоположении, записи голосовых вызовов в WeChat и данные из Telegram и QQ Messenger.

Согласно новому отчёту ThreatFabric, версия LightSpy для macOS активно используется с января 2024 года, хотя пока что она действует лишь в тестовых средах и нескольких заражённых устройствах, принадлежащих самим исследователям.

Специалисты получили доступ к панели управления LightSpy, использовав уязвимость конфигурации, что позволило им понять функциональность, инфраструктуру и список заражённых устройств.

Злоумышленники используют уязвимости WebKit ( CVE-2018-4233 и CVE-2018-4404 ), чтобы выполнить код в Safari на macOS 10.13.3 и более ранних версиях.

Первоначально на устройство доставляется 64-битный бинарный файл MachO, замаскированный под PNG-изображение («20004312341.png»). Этот файл затем расшифровывает и выполняет встроенные скрипты для загрузки следующего этапа.

Второй этап уже загружает эксплойт для повышения привилегий («ssudo»), утилиту для шифрования/дeшифрования («ddss») и ZIP-архив («mac.zip») с двумя исполняемыми файлами («update» и «update.plist»).

Затем скрипт получает root-доступ на заражённом устройстве и устанавливает устойчивость в системе, конфигурируя «update» для запуска при старте системы.

В России и ищешь VPN? Покупай через Телеграмм-бот:

Следующий шаг выполняется компонентом «macircloader», который загружает, расшифровывает и выполняет LightSpy Core, управляющий плагинами шпионского ПО и отвечающий за связь с командным сервером.

LightSpy Core также может выполнять shell-команды на устройстве, обновлять сетевую конфигурацию и устанавливать расписание активности для обхода обнаружения.

  KMSPico: сэкономил на Windows – прощайся с данными

Схема атаки

Хотя вредоносная программа использует 14 плагинов для Android и 16 плагинов для iOS, macOS-версия использует лишь следующие 10:

  • soundrecord: захватывает звук с микрофона;
  • browser: извлекает данные из браузеров;
  • cameramodule: делает фотографии с камеры устройства;
  • FileManage: управляет и извлекает файлы, особенно из мессенджеров;
  • keychain: получает данные из «Связки ключей»;
  • LanDevices: идентифицирует устройства в локальной сети;
  • softlist: показывает установленные приложения и запущенные процессы;
  • ScreenRecorder: записывает экран устройства;
  • ShellCommand: выполняет shell-команды на устройстве;
  • wifi: собирает данные о подключенных Wi-Fi сетях.

Эти плагины позволяют LightSpy собирать обширные данные с заражённых macOS систем, обеспечивая гибкость работы вредоноса.

Исследуя веб-панель управления LightSpy, специалисты ThreatFabric также обнаружили потенциальное существование имплантатов для Windows, Linux и роутеров, однако пока что нет информации о способах их доставки и использования в реальных атаках.

Таким образом, несмотря на некоторые ограничения последних версий вредоноса LightSpy, его модульная природа и обширный функционал по сбору конфиденциальных данных, представляют серьёзную угрозу безопасности не только для пользователей macOS, но и, гипотетически, других настольных платформ.

Пользователям необходимо проявлять бдительность, своевременно обновлять программное обеспечение и использовать надёжные средства кибербезопасности для защиты своих устройств и данных.

Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.

Узнайте, как защититься!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

  Как индус обманул пользователей Coinbase на $37 миллионов

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий