LightSpy: универсальный шпион теперь на macOS

30.05.2024

Изначально мобильный вредонос сместил фокус на настольные платформы.

Вредоносное ПО под названием LightSpy, ранее известное только в атаках на Android и iOS, теперь замечено и на macOS — операционная система, разработанная компанией Apple для компьютеров Mac. Она представляет собой современную, интуитивно понятную и надёжную платформу, которая объединяет в себе мощные функции и простоту использования.<br /> <br /> Система предлагает широкий спектр возможностей, обеспечивая удобство работы с файлами, приложениями и интернетом. Интерфейс macOS дружелюбен и стильно оформлен, с минималистичным дизайном и плавными анимациями.<br /> <br /> Одна из ключевых особенностей macOS — это интеграция с другими устройствами Apple. Пользователи могут без проблем синхронизировать данные и работать с ними на своём Mac, iPhone, iPad и Apple Watch." data-html="true" data-original-title="macOS" >macOS, что подтверждает его широкие возможности по сбору данных.

LightSpy — это модульный шпионский фреймворк, который используется для кражи разнообразной информации, включая файлы, снимки экрана, данные о местоположении, записи голосовых вызовов в WeChat и данные из Telegram и QQ Messenger.

Согласно новому отчёту ThreatFabric, версия LightSpy для macOS активно используется с января 2024 года, хотя пока что она действует лишь в тестовых средах и нескольких заражённых устройствах, принадлежащих самим исследователям.

Специалисты получили доступ к панели управления LightSpy, использовав уязвимость конфигурации, что позволило им понять функциональность, инфраструктуру и список заражённых устройств.

Злоумышленники используют уязвимости WebKit ( CVE-2018-4233 и CVE-2018-4404 ), чтобы выполнить код в Safari на macOS 10.13.3 и более ранних версиях.

Первоначально на устройство доставляется 64-битный бинарный файл MachO, замаскированный под PNG-изображение («20004312341.png»). Этот файл затем расшифровывает и выполняет встроенные скрипты для загрузки следующего этапа.

Второй этап уже загружает эксплойт для повышения привилегий («ssudo»), утилиту для шифрования/дeшифрования («ddss») и ZIP-архив («mac.zip») с двумя исполняемыми файлами («update» и «update.plist»).

Затем скрипт получает root-доступ на заражённом устройстве и устанавливает устойчивость в системе, конфигурируя «update» для запуска при старте системы.

Следующий шаг выполняется компонентом «macircloader», который загружает, расшифровывает и выполняет LightSpy Core, управляющий плагинами шпионского ПО и отвечающий за связь с командным сервером.

LightSpy Core также может выполнять shell-команды на устройстве, обновлять сетевую конфигурацию и устанавливать расписание активности для обхода обнаружения.

Схема атаки

Хотя вредоносная программа использует 14 плагинов для Android и 16 плагинов для iOS, macOS-версия использует лишь следующие 10:

Эти плагины позволяют LightSpy собирать обширные данные с заражённых macOS систем, обеспечивая гибкость работы вредоноса.

Исследуя веб-панель управления LightSpy, специалисты ThreatFabric — это компания, которая специализируется на исследовании и анализе мобильной безопасности. Они используют свои знания и инструменты, чтобы помочь клиентам защититься от угроз и атак. <br /> Компания выпускает информационные отчеты об угрозах, способных повлиять на мобильные устройства, и предоставляет готовые решения для защиты от этих угроз." data-html="true" data-original-title="ThreatFabric" >ThreatFabric также обнаружили потенциальное существование имплантатов для Windows, Linux и роутеров, однако пока что нет информации о способах их доставки и использования в реальных атаках.

Таким образом, несмотря на некоторые ограничения последних версий вредоноса LightSpy, его модульная природа и обширный функционал по сбору конфиденциальных данных, представляют серьёзную угрозу безопасности не только для пользователей macOS, но и, гипотетически, других настольных платформ.

Пользователям необходимо проявлять бдительность, своевременно обновлять программное обеспечение и использовать надёжные средства кибербезопасности для защиты своих устройств и данных.

Добавить комментарий

Your email address will not be published.

Предыдущая история

Глаза и уши Си Цзиньпина теперь есть в доме каждого пекинца

Next Story

Интернет из стратосферы: 5G добрался до стратосферы, открыв путь к внеземным сетям

Последние из Наука и образование

Рейтинг мировых университетов THE 2025: Оксфорд удерживает первое место, проверьте топ-10 и их общий балл

09.11.2024
Оксфордский университет, Массачусетский технологический институт (MIT) и Гарвардский университет заняли первые три места в рейтинге мировых университетов THE 2025. Times Higher Education (THE) поставил

Первоклассники Туркменистана получат в подарок от Президента усовершенствованные модели ноутбуков

30.08.2024
В новом 2024-2025 учебном году более 155 тысяч первоклассников Туркменистана получат в подарок от имени Президента Сердара Бердымухамедова усовершенствованные модели портативных компьютеров. Среди новшеств

Учебная поездка в Малайзию

30.08.2024
В канун нового, 2024-2025 учебного года вузовская делегация в составе преподавателей и студентов Международного университета нефти и газа имени Ягшыгелди Какаева, а также его

«Цифроземье 2024»: ИТ-форум, где будущее уже здесь

20.08.2024
В начале осени Воронеж станет эпицентром цифровых инноваций. 5 сентября в Сити-парке «Град» пройдет ИТ-форум «Цифроземье 2024», который объединит специалистов, предпринимателей, экспертов и всех,
Перейти кTop