黑客升级 LightSpy 监控框架，开始针对苹果 Mac 设备搜刮数据

关键词

网络安全公司 ThreatFabric 于 5 月 29 日发布报告，发现了 macOS 版 LightSpy 监控框架，表明幕后开发者已着手扩大攻击范围，搜刮苹果 Mac 设备上的相关数据。

LightSpy 监控框架此前仅限于苹果 iOS 和谷歌安卓系统，是一款模块化的监控框架，用于窃取设备中的各种数据，包括文件、截图、位置数据（包括楼宇层数）、微信通话时的语音记录、微信支付的支付信息，以及 Telegram 和 QQ 的其它数据。

ThreatFabric 报告称至少在今年 1 月，发现了一例 macOS 植入攻击情况，表明已经有黑客利用该框架向苹果 Mac 设备发起攻击。

报告称 LightSpy 监控框架主要利用追踪编号为 CVE-2018-4233 和 CVE-2018-4404 的 WebKit 漏洞，在 Safari 浏览器中触发代码执行，主要针对 macOS 10.13.3 及更早版本。

简单介绍下该框架利用步骤如下：

第一阶段，一个伪装成 PNG 图像文件（"20004312341.png"）的 64 位 MachO 二进制文件被传送到设备上，解密并执行嵌入式脚本，获取第二阶段的内容。

第二阶段有效载荷会下载一个权限升级漏洞（"ssudo"）、一个加密 / 解密实用程序（"dsds"）和一个 ZIP 压缩包（"mac.zip"），其中包含两个可执行文件（"update"和"update.plist"）。

最终，shell 脚本会对这些文件进行解密和解包，获得被入侵设备的 root 访问权限，并通过配置 "更新" 二进制文件在启动时运行，在系统中建立持久性。