最近的发现显示,臭名昭著的 LightSpy 监控框架现在已经有了 macOS 版本,而此前该框架主要针对 Android 和 iOS 设备。这一发现证实了
LightSpy 的影响范围已经超越了移动设备,对 macOS 用户构成了新的威胁。以下是所有细节!
LightSpy 扩大的威胁范围
LightSpy 是一个复杂的监控工具,用于从被入侵的设备中窃取各种数据。它可以提取文件、捕捉萤幕截图、记录位置数据、录制
的语音通话,并窃取 WeChat Pay的支付信息。它还会针对 和 QQMessenger 的数据。
LightSpy 背后的攻击者主要集中在亚太地区的受害者。根据最近的 ,macOS 版本自
2024 年 1 月以来已在野外活动。目前,其活动似乎主要限于测试环境和一些由网络安全研究人员使用的机器。
LightSpy 如何入侵 macOS 设备
LightSpy 透过利用已知的 WebKit 漏洞来侵犯 macOS,特别是 CVE-2018-4233 和
CVE-2018-4404。这些漏洞允许间谍软件在 macOS 10.13.3 及更早版本的 Safari 中执行代码。
感染过程以一个假装成 PNG 图像文件(“20004312341.png”)的 64 位 MachO二进位文件开始。一旦传递到目标设备,该文件便会解密并执行嵌入的脚本以获取第二阶段的有效载荷。
第二阶段涉及下载几个组件:
- 一个权限提升利用工具(“ssudo”)。
- 一个加密/解密工具(“ddss”)。
- 一个 ZIP 压缩文件(“mac.zip”),其中包含两个可执行文件(“update”和“update.plist”)。
这些文件由一个 shell 脚本解密并解压,然后获得受感染设备的根访问权限,并通过配置“update”二进位文件在启动时运行来确保持久性。
LightSpy macOS 变体感染链(来源:ThreatFabric)
接下来的过程涉及一个名为“macircloader”的组件,负责下载、解密并执行 LightSpy核心。这一核心模块管理插件并维持与指挥和控制(C2)伺服器的通信。它可以执行 shell 命令、更新网络配置以及设置活动计划以避免被检测。
LightSpy 使用的插件
LightSpy 的 macOS 版本使用各种插件来执行特定的监控功能。虽然 Android 变体使用 14 个插件,iOS 版本使用 16 个,但
macOS 植入版使用十个。
| 插件 | 描述 | |—|—| | soundrecord | 从设备的麦克风捕获音频。 | | browser | 提取浏览器的浏览数据(如访问的网站)。 | | cameramodule | 在用户不知情的情况下使用设备相机拍照。 | | FileManage | 管理并窃取文件,特别是来自消息应用的文件。 | | keychain | 从 macOS 键链中检索敏感数据。 | | LanDevices | 识别并收集同一局域网上的设备信息。 | | softlist | 列出系统上所有安装的应用程序和运行中的进程。 | | ScreenRecorder | 录制设备的所有萤幕活动。 | | ShellCommand | 在受感染的设备上执行各种 shell 命令。 | | wifi | 收集设备连接的 Wi-Fi 网络的信息。 |
这些插件使 LightSpy 能够从受感染的 macOS 系统进行全面的监控和数据窃取,成为攻击者的多功能工具。
潜在的威胁超越 macOS
ThreatFabric 的报告还指出,存在针对 Windows、Linux 和路由器的 LightSpy植入物,但其部署和在攻击中使用的具体情况尚不清楚。
虽然 LightSpy 的全部能力仍在调查中,但这一发现突显了监控工具日益增长的复杂性,以及各平台上需要采取坚实的
措施的必要性。
请保持警觉,确保系统保持最新,以保护免受此类威胁。发现 LightSpy macOS 变体提醒我们,网络安全风险的环境正在不断演变。
Anas Hasan
2024年5月31日
5个月前
Anas Hassan 是一位科技爱好者和网络安全爱好者。他在数字转型行业拥有丰富的经验。当 Anas 不在写博客时,他会观看足球比赛。
