安全专家发现针对 MacOS 系统的复杂 LightSpy 间谍软件

ThreatFabric 的研究人员发现LightSpy间谍软件的 macOS 版本，该版本至少自 2024 年 1 月以来一直在野外活跃。

ThreatFabric 观察到atfm者使用两个公开可用的漏洞（CVE-2018-4233、CVE-2018-4404）来传播 macOS 植入程序。研究人员注意到，CVE-2018-4404 漏洞的一部分可能借用自 Metasploit 框架。

LightSpy 的 macOS 版本支持 10 个插件，可以从MacOS移动设备中窃取私人信息。

LightSpy 是一款模块化间谍软件，在几个月沉寂之后再次出现，新版本支持具有广泛的间谍功能模块化框架。

LightSpy 可以从 Telegram、QQ 和微信等多个流行应用程序中窃取文件，以及存储在设备上的个人文档和媒体。它还可以录制音频并收集各种数据，包括浏览器历史记录、WiFi 连接列表、已安装的应用程序详细信息，甚至是设备摄像头捕获的图像。

该恶意软件还授予攻击者访问设备系统的权限，使他们能够检索用户 KeyChain 数据、设备列表并执行 shell 命令，从而有可以完全控制受害者设备。

研究人员报告称，从 2024 年 1 月 11 日开始，多个包含数字“96382741”的 URL 被上传到 VirusTotal。这些 URL 指向 GitHub 上发布的 HTML 和 JavaScript 文件，这些文件与 CVE-2018-4233 漏洞有关。

该漏洞位于 WebKit 中，影响 macOS 版本 10.13.3 和 11.4 之前的 iOS 版本。研究人员注意到，数字“96382741”以前曾被用作托管 Android 和 iOS 的 LightSpy 恶意软件文件的路径名。

“初始攻击者使用与 iOS 植入物分发相同的方法：触发 Safari 中的 WebKit 漏洞以执行非特权任意代码执行。对于 macOS，攻击者使用 CVE-2018-4233 漏洞，其源代码于 2018 年 8 月 18 日发布。”

ThreatFabric 发布的分析报告（https://www.threatfabric.com/blogs/lightspy-implant-for-macos）写道：“由于该漏洞影响 iOS 和 macOS WebKit，因此 iOS 和 macOS 植入物可能已经以相同的方式传播了一段时间。不同之处在于横向本地特权提升，这是针对特定操作系统。”

macOS 版本的插件与其他平台的插件不同，反映了目标系统的架构。与移动版本相比，桌面版本的渗透功能较少。

研究人员检查了所有已知的与 LightSpy 相关的主机，除了 103.27.109[.]217 之外，无法确认任何与 macOS 活动相关的主机。在与 LightSpy 相关的其他几个主机上发现了几乎相同的面板。

2024 年 3 月 21 日，该恶意软件管理面板首次出现在 VirusTotal 上，显示为网页背景。

第二天，面板 URL 也在 VirusTotal 上被发现，它与 Android LightSpy 相关联。初步分析显示，面板代码存在一个严重错误：它仅在加载所有脚本后才检查授权，会向未经授权的用户短暂显示经过身份验证的视图。

在窗口的右上角，有一个标有“远程控制平台”的按钮，指向同一控制服务器上的另一个面板。由于灾难性的配置错误，使得研究人员能够访问此面板，任何人都可以通过访问顶级面板来做同样的事情。这个面板包含有关受害者的全面信息，与本报告技术分析部分提供的所有泄露数据完全相关。

可以看到有三组不同的受害者：“202206”、“支持设备”和“default”。最后一组包含在与 C2 通信期间提供无效配置的受害者，我们可以高度肯定地说这些设备是安全研究人员的设备。

通过分析面板中的受害者列表，研究人员得出结论，其中一些受害者本身可能就是攻击者。例如，其中一台设备的浏览器历史记录中充满了指向 HTML 文件的 URL，该文件具有初始感染媒介的 RCE 漏洞。

研究人员确信 LightSpy for macOS 攻击者团伙专注于拦截受害者的通信，例如 Messenger 对话和语音记录。对于 macOS，设计了一个专门用于网络发现的插件，旨在识别靠近受害者的设备。

新闻链接：https://securityaffairs.com/163888/malware/lightspy-macos-version.html