Scoperta versione macOS di LightSpy, un pericoloso spyware

Scoperta versione di LightSpy, un pericoloso spyware per macOS

Spyware macOs: alcuni esperti di sicurezza hanno recentemente scoperto una versione macOS di LightSpy, uno spyware modulare e pericoloso che, fino ad ora, era noto per colpire solo dispositivi Android e iOS. LightSpy è stato utilizzato per rubare una vasta gamma di dati da dispositivi mobili, tra cui file, screenshot, dati di localizzazione, registrazioni vocali durante le chiamate WeChat, informazioni sul pagamento di WeChat Pay e dati esfiltrati da Telegram e QQ Messenger.

Gli attaccanti dietro questo framework mirano principalmente alle vittime nella regione Asia-Pacifico.

LightSpy: Una minaccia per macOS

Un nuovo rapporto di ThreatFabric rivela che una versione macOS di LightSpy è stata scoperta in natura e attiva dalmeno gennaio 2024. Tuttavia, il suo funzionamento sembra essere attualmente limitato a ambienti di test, con un numero limitato di macchine infette utilizzate da ricercatori di sicurezza.

I ricercatori sono riusciti a infiltrarsi nel pannello di controllo di LightSpy sfruttando una configurazione errata che consentiva l’accesso non autorizzato all’interfaccia autenticata, ottenendo informazioni sulle funzionalità, l’infrastruttura e i dispositivi infetti.

Utilizzo di exploit per compromettere macOS

Gli attaccanti utilizzano WebKit vulnerabilità CVE-2018-4233 e CVE-2018-4404 per attivare l’esecuzione di codice all’interno di Safari, prendendo di mira macOS 10.13.3 e versioni precedenti.

Inizialmente, viene consegnato un file binario MachO a 64 bit mascherato da file immagine PNG (“20004312341.png”) sul dispositivo, che decritta e esegue script incorporati che scaricano il payload di secondo stadio.

Il payload di secondo stadio scarica un exploit di elevazione dei privilegi (“ssudo”), un’utilità di crittografia/decifrazione (“ddss”) e un archivio ZIP (“mac.zip”) contenente due file eseguibili (“update” e “update.plist”).

Alla fine, lo script shell decritta e decomprime questi file, ottenendo l’accesso root sul dispositivo violato e stabilendo la persistenza nel sistema configurando il file binario “update” per l’esecuzione all’avvio.

Il componente successivo, chiamato “macircloader”, scarica, decritta ed esegue LightSpy Core.

Questo funge da sistema di gestione dei plugin centrali per il framework spyware e è responsabile delle comunicazioni con il server di comando e controllo (C2).

LightSpy core può anche eseguire comandi shell sul dispositivo, aggiornare la sua configurazione di rete e impostare un programma di attività per eludere la rilevazione.

Plugin LightSpy

Il framework LightSpy estende la sua funzionalità di spionaggio utilizzando vari plugin che svolgono azioni specifiche sul dispositivo infetto.

Anche se il malware utilizza 14 plugin su Android e 16 plugin sulla sua implantazione iOS, la versione macOS utilizza i seguenti dieci:

  • soundrecord: Registra audio dal microfono.
  • browser: Estrae i dati di navigazione dai browser web più diffusi.
  • cameramodule: Scatta foto utilizzando la fotocamera del dispositivo.
  • FileManage: Gestisce e esfiltra file, specialmente da app di messaggistica.
  • keychain: Recupera informazioni sensibili archiviate in Keychain di macOS.
  • LanDevices: Identifica e raccoglie informazioni sui dispositivi sulla stessa rete locale.
  • softlist: Elenca le applicazioni installate e i processi in esecuzione.
  • ScreenRecorder: Registra l’attività di schermata del dispositivo.
  • ShellCommand: Esegue comandi shell sul dispositivo infetto.
  • wifi: Raccoglie dati sulle reti Wi-Fi a cui il dispositivo è connesso.

Questi plugin consentono a LightSpy di svolgere un’ampia esfiltrazione di dati da sistemi macOS infetti, mentre il suo design modulare gli conferisce flessibilità operativa.

ThreatFabric osserva nel suo rapporto che l’accesso al pannello degli attaccanti ha confermato l’esistenza di impianti per Windows, Linux e router, ma non è stato possibile determinare come vengono utilizzati negli attacchi.

“Nonostante le nostre scoperte, alcuni aspetti del puzzle LightSpy rimangono elusivi”, conclude ThreatFabric.

“Non c’è alcuna prova che confermi l’esistenza di impianti per Linux e router, né informazioni su come potrebbero essere consegnati. Tuttavia, la loro potenziale funzionalità è nota sulla base dell’analisi del pannello.”

Consigli per la sicurezza

Per proteggere il tuo dispositivo macOS da LightSpy e altre minacce, considera i seguenti suggerimenti:

  1. Mantieni aggiornato il tuo sistema operativo: macOS e le tue applicazioni dovrebbero essere sempre aggiornate alle ultime versioni, poiché gli aggiornamenti spesso includono patch di sicurezza critiche.
  2. Installa un software antivirus affidabile: un software antivirus affidabile può rilevare e rimuovere malware come LightSpy dai tuoi dispositivi.
  3. Fai attenzione alle email sospette: non aprire allegati o cliccare su link in email sospette, specialmente se provengono da mittenti sconosciuti.
  4. Evita di installare software da fonti non attendibili: installare software solo da fonti attendibili, come l’App Store di Apple, può ridurre il rischio di infezione da malware.
  5. Abilita il firewall: il firewall integrato in macOS può aiutare a bloccare le connessioni non autorizzate al tuo dispositivo.
  6. Abilita l’autenticazione a due fattori (2FA): l’autenticazione a due fattori può aggiungere un livello di sicurezza extra alle tue informazioni personali e account online.
  7. Esercita la cautela quando navighi sul web: evita di visitare siti web sospetti o non attendibili e fai attenzione alle pubblicità ingannevoli.

Seguendo questi consigli, puoi ridurre il rischio di infezione da malware come LightSpy e mantenere i tuoi dispositivi e dati al sicuro.

Fonte: https://www.bleepingcomputer.com/news/security/macos-version-of-elusive-lightspy-spyware-tool-discovered/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto