LightSpy Gözetim Çerçevesi'nin macOS sürümü keşfedildi ve daha önce Android ve iOS cihazlarını hedeflemek için bilinen bir aracın kapsamlı erişimini doğruladı.
LightSpy, insanların dosyaları, ekran görüntüleri, konum verileri (bina kat numaraları dahil), WeChat çağrıları sırasında ses kayıtları ve WeChat Pay'dan ödeme bilgileri dahil olmak üzere çok çeşitli verileri çalmak için kullanılan modüler bir iOS ve Android gözetim çerçevesidir. Telegram ve QQ Messenger'dan veri eksfiltrasyonu.
Çerçevenin arkasındaki saldırganlar bunu Asya -Pasifik bölgesindeki hedeflere yönelik saldırılarda kullanıyor.
TehditFabric tarafından yapılan yeni bir rapora göre, bir macOS implantının en azından Ocak 2024'ten beri Vahşi'de aktif olduğu keşfedildi. Bununla birlikte, operasyonu şu anda test ortamlarıyla sınırlı görünüyor ve bir avuç enfekte makine siber güvenlik araştırmacıları tarafından kullanıldı. .
Araştırmacılar, doğrulanmış arayüze yetkisiz erişime izin veren, işlevsellik, altyapı ve enfekte cihazlar hakkında bilgi edinen bir yanlış yapılandırmadan yararlanarak LightSpy'nin kontrol paneline sızdılar.
Tehdit aktörleri, Safari'de kod yürütmeyi tetiklemek için MacOS 10.13.3 ve önceki işlemleri hedefleyen Webkit Kusurları CVE-2018-4233 ve CVE-2018-4404'ü kullanır.
Başlangıçta, bir PNG görüntü dosyası ("20004312341.png") olarak gizlenmiş 64 bit Macho ikili ikili ikili ikili ikili ikili ikili, ikinci aşamayı getiren gömülü komut dosyalarını şifreleyerek ve yürüterek cihazda teslim edilir.
İkinci aşama yükü, bir ayrıcalık artış istismarı ("ssudo"), bir şifreleme/şifre çözme yardımcı programı ("DDSS") ve iki yürütülebilir ("update" ve "update.plist" içeren bir zip arşivi ("mac.zip") indirir. ).
Sonunda, kabuk komut dosyası bu dosyaları şifresini çözer ve açar, ihlal edilen cihazda kök erişimi kazanır ve başlangıçta çalışacak "güncelleme" ikili yapılandırarak sistem üzerinde kalıcılık oluşturur.
Bir sonraki adım, LightSpy Core'u indiren, şifresini çözen ve yürüten "Macircloader" adlı bir bileşen tarafından gerçekleştirilir.
Bu, casus yazılım çerçevesi için Merkezi Eklenti Yönetim Sistemi olarak işlev görür ve Komut ve Kontrol (C2) sunucusu ile iletişimden sorumludur.
LightSpy Core, cihazdaki kabuk komutlarını yürütebilir, ağ yapılandırmasını güncelleyebilir ve algılamadan kaçınmak için bir etkinlik zaman çizelgesi ayarlayabilir.
LightSpy Framework, tehlikeye atılan cihazda belirli eylemler gerçekleştiren çeşitli eklentiler kullanarak casusluk işlevselliğini genişletir.
Kötü amaçlı yazılım Android'de 14 eklenti ve iOS implantında 16 eklenti kullansa da, MacOS sürümü aşağıdaki on kişiyi kullanır:
Bu eklentiler, LightSpy'nin enfekte macOS sistemlerinden kapsamlı veri eksfiltrasyonu gerçekleştirmesini sağlarken, modüler tasarımı Operasyonel esneklik sağlar.
Tehdit Fabrik Notları Raporunda, saldırganın paneline erişiminin Windows, Linux ve yönlendiriciler için implantların var olduğunu, ancak saldırılarda nasıl kullanıldıklarını belirleyemediğini doğruladı.
"Bulgularımıza rağmen, Lightspy bulmacasının bazı yönleri zor olmaya devam ediyor."
Diyerek şöyle devam etti: "Linux ve yönlendiriciler için implantların varlığını doğrulayan bir kanıt yok ya da nasıl sunulabilecekleri hakkında bilgi yok. Ancak, potansiyel işlevleri panel analizine dayanarak biliniyor."
Apple: Paralı casus yazılım saldırıları 92 ülkede hedef iphone kullanıcıları
Kaspersky, bilinen tehditler için Linux'u tarayan ücretsiz aracı yayınladı
Europol, kötü amaçlı yazılım yükleyici botnetlerine bağlı 8 siber suçluyu tanımlar
Pirated Microsoft Office sistemlerde kötü amaçlı yazılım kokteyli sunar
Kötü Yazılım Botnet Gizemli 2023 saldırısında 600.000 yönlendiriciyi tuğla
Kaynak: Bleeping Computer