LightSpy është një mjet spiun i njohur, i përdorur tashmë për të hyrë në pajisjet Android dhe iOS. Ekspertët e ThreatFabric së fundmi identifikuan sulme të kryera me një version për macOS. Gjurmët e para u zbuluan në fillim të janarit. Kriminelët kibernetikë shfrytëzojnë dy dobësi të WebKit.
Spyware për macOS
Dobësitë në motorin e paraqitjes së Safari janë CVE-2018-4233 dhe CVE-2018-4404. Ata janë mjaft të vjetër, kështu që është e qartë se kriminelët kibernetikë synojnë Mac që nuk mund të përditësohen (me macOS 10.13.3 dhe më të hershëm). Sulmi fillon kur viktima që nuk dyshon viziton një faqe interneti që shfrytëzon gabimet për të ekzekutuar kodin arbitrar.
Një imazh PNG kopjohet në pajisje. Në fakt është një ekzekutues Mach-O që lëshon një skript. Ky i fundit shkarkon tre skedarë: ssudo (shfrytëzimi i përshkallëzimit të privilegjeve), ddss (mjete për enkriptimin/deshifrimin e skedarëve) dhe një arkiv ZIP që përmban dy ekzekutues (përditësim dhe përditësim.list).
Skripti më pas cakton të drejtat e qasjes rrënjësore për këta dy skedarë dhe vendos qëndrueshmërinë me përditësimin (ekzekutohet në fillim). Më pas, komponenti LightSpy që ekzekuton komandat dhe menaxhon shtojcat shkarkohet nga serveri C2 (komandë dhe kontroll) (spyware është modular).
Shtojcat e identifikuara nga ThreatFabric janë 10 dhe ju lejojnë të kryeni aktivitete të ndryshme: regjistrimi i tingujve nga mikrofoni, vjedhja e të dhënave nga shfletuesi, kapja e imazheve nga kamera, ekfiltrimi i të dhënave, aksesi në informacionin e ruajtur në macOS Keychain, identifikimi i pajisjeve të lidhura me rrjeti lokal, mbledhja e listës së aplikacioneve të instaluara, regjistrimi i ekranit, ekzekutimi i komandave të guaskës dhe mbledhja e të dhënave të rrjetit WiFi.
Pra është një mjet i fuqishëm spiunimi që mund të përdoret për të goditur target të caktuara.
Discussion about this post