Pesquisadores de cibersegurança revelaram que o spyware LightSpy, recentemente identificado como alvo de usuários do Apple iOS, é na verdade uma variante macOS não documentada anteriormente do implante.
Os achados vêm tanto da Huntress Labs quanto da ThreatFabric, que analisaram separadamente os artefatos associados ao framework de malware cross-platform que provavelmente possui capacidades para infectar Android, iOS, Windows, macOS, Linux e roteadores da NETGEAR, Linksys e ASUS.
"O grupo de atores de ameaças usou dois exploits publicamente disponíveis (
CVE-2018-4233
,
CVE-2018-4404
) para entregar implantes para macOS", disse ThreatFabric em um relatório publicado na semana passada.
Parte do exploit
CVE-2018-4404
provavelmente foi emprestada do framework Metasploit.macOS versão 10 foi visado usando esses exploits.
O LightSpy foi relatado publicamente pela primeira vez em 2020, embora relatórios subsequentes da Lookout e de uma firma holandesa de segurança móvel tenham revelado possíveis conexões entre o spyware e uma ferramenta de vigilância Android chamada DragonEgg.
No início de abril, a BlackBerry divulgou o que disse ser uma campanha de espionagem cibernética "renovada", visando usuários na Ásia do Sul para entregar uma versão iOS do LightSpy.
Mas agora descobriu-se que se trata de uma versão macOS muito mais refinada que emprega um sistema baseado em plugins para coletar várias informações.
"Vale ressaltar também que, embora essa amostra tenha sido recentemente enviada ao VirusTotal da Índia, isso não é um indicador particularmente forte de uma campanha ativa, nem de um direcionamento dentro da região", disseram os pesquisadores da Huntress, Stuart Ashenbrenner e Alden Schmidt.
É um fator contribuinte, mas sem mais provas concretas ou visibilidade sobre mecanismos de entrega, isso deve ser considerado com cautela.
A análise da ThreatFabric revelou que o sabor macOS tem estado ativo no ambiente desde pelo menos janeiro de 2024, mas confinado a cerca de 20 dispositivos, a maioria dos quais é dita ser de dispositivos de teste.
A cadeia de ataque começa com a exploração do
CVE-2018-4233
, uma falha do Safari WebKit, via páginas HTML maliciosas para disparar a execução de código, levando à entrega de um binário Mach-O de 64 bits que se disfarça como um arquivo de imagem PNG.
O binário é projetado principalmente para extrair e lançar um script shell que, por sua vez, busca três payloads adicionais: Um exploit de elevação de privilégios, uma utilidade de criptografia/descriptografia e um arquivo ZIP.
O script então extrai o conteúdo do arquivo ZIP -- update e update.plist -- e atribui privilégios de root a ambos.
O arquivo de propriedades da lista de informações (plist) é usado para configurar a persistência do outro arquivo, de modo que este seja lançado toda vez após um reinício do sistema.
O arquivo "update" (aka macircloader) atua como um carregador para o componente LightSpy Core, permitindo que este estabeleça contato com um servidor de comando e controle (C2) e recupere comandos, bem como baixe plugins.
A versão macOS vem com suporte para 10 plugins diferentes para capturar áudio do microfone, tirar fotos, gravar atividades na tela, coletar e deletar arquivos, executar comandos shell, capturar a lista de aplicativos instalados e processos em execução, e extrair dados de navegadores da web (Safari e Google Chrome) e do iCloud Keychain.
Dois outros plugins tornam possível capturar informações sobre todos os outros dispositivos que estão conectados à mesma rede que a vítima, a lista de redes Wi-Fi às quais o dispositivo se conectou e detalhes sobre as redes Wi-Fi próximas.
"O Core atua como um despachante de comandos e plugins adicionais estendem a funcionalidade", observou a ThreatFabric.
"Tanto o Core quanto os plugins poderiam ser atualizados dinamicamente por um comando do C2."
A firma de cibersegurança disse que foi capaz de encontrar uma má configuração que tornou possível ganhar acesso ao painel do C2, incluindo uma plataforma de controle remoto, que contém informações sobre as vítimas e os dados associados.
"Independentemente da plataforma visada, o grupo de atores de ameaças se concentrou em interceptar comunicações da vítima, como conversas por mensageiro e gravações de voz", disse a empresa.
Para o macOS, um plugin especializado foi projetado para descoberta de rede, visando identificar dispositivos na proximidade da vítima.
O desenvolvimento surge enquanto dispositivos Android foram alvo de conhecidos trojans bancários como BankBot e SpyNote em ataques voltados a usuários de aplicativos de bancos móveis no Uzbequistão e no Brasil, bem como se passando por um provedor de serviços de telecomunicações do México para infectar usuários na América Latina e no Caribe.
Isso também ocorre quando um relatório da Access Now e do Citizen Lab revelou evidências de ataques de spyware Pegasus visando sete ativistas de oposição e mídia independente falantes de russo e bielorrusso na Letônia, Lituânia e Polônia.
"O uso do spyware Pegasus para visar jornalistas e ativistas que falam russo e bielorrusso remonta pelo menos até 2020, com mais ataques seguindo a invasão em larga escala da Ucrânia pela Rússia em fevereiro de 2022", disse a Access Now, acrescentando que "um único operador de spyware Pegasus pode estar por trás do direcionamento de pelo menos três das vítimas e possivelmente todas as cinco.
O fabricante do Pegasus, NSO Group, em uma declaração compartilhada com a Meduza, disse que não pode divulgar informações sobre clientes específicos, mas observou que vende suas ferramentas apenas para países aliados de Israel e dos EUA.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...