专家发现了一款复杂的LightSpy间谍软件的macOS版本

威胁分析公司的研究人员发现了一款macOS版本的LightSpy间谍软件，该软件自2024年1月起在野外活动。威胁分析公司观察到威胁行为者使用两个公开可用的漏洞（CVE-2018-4233，CVE-2018-4404）传送macOS植入物。专家注意到，CVE-2018-4404漏洞的一部分可能是从Metasploit框架借用的。

LightSpy的macOS版本支持10个插件，用于从设备中窃取私人信息。LightSpy是一种模块化间谍软件，经过几个月的不活动后再次出现，新版本支持具有广泛间谍功能的模块化框架。LightSpy可以从多个热门应用程序（如Telegram、QQ和微信）以及存储在设备上的个人文件和媒体中窃取文件。它还可以录制音频，并收集各种数据，包括浏览器历史记录、WiFi连接列表、安装的应用程序详细信息，甚至是设备摄像头捕获的图像。该恶意软件还允许攻击者访问设备系统，使他们能够检索用户KeyChain数据、设备列表，并执行shell命令，可能获得对设备的完全控制。

研究人员报告称，从2024年1月11日开始，上传了几个包含数字“96382741”的URL到VirusTotal。这些URL指向发布在GitHub上的HTML和JavaScript文件，与CVE-2018-4233漏洞相关。该漏洞存在于WebKit中，影响macOS版本10.13.3和iOS版本11.4之前。研究人员注意到数字“96382741”曾被先前用作托管LightSpy恶意软件文件的路径名称，用于Android和iOS。

威胁Fabric发布的分析称：“起始点威胁行为者组使用了与iOS植入物分发相同的方法：在Safari中触发WebKit漏洞以执行非特权任意代码执行。对于macOS，攻击者使用了2018年8月18日发布的CVE-2018-4233漏洞利用代码。

由于该漏洞影响了iOS和macOS的WebKit，因此在一段时间内可能以相同的方式分发iOS和macOS植入物。不同之处在于横向本地特权升级，这是特定于操作系统的。” macOS版本的插件与其他平台的插件不同，反映了目标系统的架构。值得注意的是，桌面版与移动版相比，泄密功能较少。2024年3月21日，面板内容首次出现在VirusTotal上，显示为网页背景。第二天，在VirusTotal上还发现了面板URL，它与Android版的LightSpy相关联。初步分析显示，该面板的代码存在一个关键错误：它仅在加载所有脚本后才检查授权，对未经授权的用户暂时显示认证视图。“然而，在窗口的右上角，有一个标有“远程控制平台”的按钮，指向同一控制服务器上的另一个面板。由于严重的配置错误，我们能够访问该面板，任何人都可以通过访问顶级面板做到相同。”

报告继续说道。“该面板包含了关于受害者的全面信息，与本报告技术分析部分提供的所有泄密数据完全相关。很明显，无论目标平台如何，威胁行为者组都专注于拦截受害者的通信，例如信使对话和语音录音。对于macOS，还设计了一个专门的插件用于网络发现，旨在识别接近受害者的设备。”报告总结道。“尽管我们发现了一些内容，LightSpy谜题的某些方面仍然难以捉摸。没有证据证实Linux和路由器的植入物存在，也没有关于它们可能如何被传递的信息。但是，基于面板分析，我们已知它们的潜在功能。”

原文始发于微信公众号（黑猫安全）：专家发现了一款复杂的LightSpy间谍软件的macOS版本