Especialistas encontraram uma versão MacOS do sofisticado Spyware LightSpy

Pesquisadores da ThreatFabric descobriram uma versão macOS do spyware LightSpy que está ativa desde pelo menos janeiro de 2024.

O ThreatFabric observou agentes de ameaças usando duas explorações disponíveis publicamente (CVE-2018-4233, CVE-2018-4404) para entregar implantes macOS. Os especialistas notaram que uma parte da exploração CVE-2018-4404 provavelmente foi emprestada da estrutura Metasploit.

A versão macOS do LightSpy oferece suporte a 10 plug-ins para extrair informações privadas de dispositivos.

LightSpy é um spyware modular que ressurgiu após vários meses de inatividade. A nova versão suporta uma estrutura modular com amplos recursos de espionagem.

LightSpy pode roubar arquivos de vários aplicativos populares como Telegram, QQ e WeChat, bem como documentos pessoais e mídia armazenados no dispositivo. Ele também pode gravar áudio e coletar uma ampla variedade de dados, incluindo histórico do navegador, listas de conexões WiFi, detalhes de aplicativos instalados e até imagens capturadas pela câmera do dispositivo. O malware também concede aos invasores acesso ao sistema do dispositivo, permitindo-lhes recuperar dados do KeyChain do usuário, listas de dispositivos e executar comandos shell, potencialmente ganhando controle total sobre o dispositivo.

Os pesquisadores relataram que a partir de 11 de janeiro de 2024, vários URLs contendo o número “96382741” foram carregados no VirusTotal. Essas URLs apontavam para arquivos HTML e JavaScript publicados no GitHub, relacionados à vulnerabilidade CVE-2018-4233. A falha reside no WebKit e afeta o macOS versão 10.13.3 e versões do iOS anteriores à 11.4. Os pesquisadores notaram que o número “96382741” foi usado anteriormente como nome de caminho para hospedar arquivos de malware LightSpy para Android e iOS.

“O grupo de atores de ameaças do ponto de partida usou a mesma abordagem da distribuição de implantes iOS: acionando a vulnerabilidade do WebKit dentro do Safari para executar execução de código arbitrário sem privilégios. Para macOS, os invasores usaram  o exploit CVE-2018-4233  , cujo código-fonte foi publicado em 18 de agosto de 2018.” lê a análise publicada pela ThreatFabric. “Como a vulnerabilidade afetou os WebKits do iOS e do macOS, os implantes do iOS e do macOS podem ter sido entregues da mesma forma há algum tempo. A diferença estava no escalonamento lateral de privilégios locais, que é específico do sistema operacional.”

Os plug-ins da versão macOS são diferentes daqueles de outras plataformas, refletindo a arquitetura dos sistemas de destino. Notavelmente, a versão desktop tem menos funções de exfiltração em comparação com a versão móvel.

Em 21 de março de 2024, o conteúdo do painel apareceu pela primeira vez no VirusTotal, exibido como plano de fundo de uma página da web. No dia seguinte, a URL do painel também foi encontrada no VirusTotal, associada ao Android LightSpy. A análise inicial revelou que o código do painel apresentava um erro crítico: ele verificava a autorização somente após carregar todos os scripts, exibindo brevemente a visualização autenticada para usuários não autorizados.

“No entanto, no canto superior direito da janela, havia um botão denominado “Plataforma de controle remoto”, apontando para outro painel no mesmo servidor de controle. Devido a uma configuração incorreta catastrófica, conseguimos acessar este painel, e qualquer pessoa poderia fazer o mesmo acessando o painel de nível superior.” continua o relatório. “Este painel continha informações abrangentes sobre as vítimas, totalmente correlacionadas com todos os dados de exfiltração fornecidos na seção de análise técnica deste relatório.”

“Tornou-se evidente que, independentemente da plataforma visada, o grupo de atores da ameaça concentrava-se na interceptação das comunicações das vítimas, como conversas de mensagens e gravações de voz. Para o macOS, foi projetado um plugin especializado para descoberta de rede, com o objetivo de identificar dispositivos próximos à vítima.” conclui o relatório. “Apesar de nossas descobertas, alguns aspectos do quebra-cabeça do LightSpy permanecem indefinidos. Não há evidências que confirmem a existência de implantes para Linux e roteadores, nem há informações sobre como eles poderão ser entregues. No entanto, sua funcionalidade potencial é conhecida com base na análise do painel.”

Os pesquisadores também forneceram indicadores de comprometimento (IoC) para esta versão do spyware.