Logiciel espion LightSpy
Les analystes de sécurité ont révélé que le logiciel espion LightSpy, initialement destiné aux utilisateurs Apple iOS, est une variante macOS non documentée du logiciel malveillant. Ces éclairages proviennent de spécialistes de la cybersécurité qui ont examiné les traces liées à cette menace multiplateforme. Le logiciel malveillant est susceptible d'infecter un large éventail de systèmes, notamment Android, iOS, Windows, macOS et Linux, ainsi que les routeurs fabriqués par NETGEAR, Linksys et ASUS.
Table des matières
Les cybercriminels exploitent les vulnérabilités pour infecter les appareils avec LightSpy
Le groupe d’acteurs menaçants a exploité deux exploits accessibles au public (CVE-2018-4233, CVE-2018-4404) pour déployer des implants sur macOS, une partie de CVE-2018-4404 provenant potentiellement du framework Metasploit. Les exploits ciblaient la version 10 de macOS.
Initialement signalé en 2020, LightSpy a depuis été lié à un outil de surveillance Android nommé DragonEgg.
En avril 2024, des chercheurs ont révélé une campagne de cyberespionnage « renouvelée » ciblant les utilisateurs d'Asie du Sud, initialement censée fournir une version iOS de LightSpy. Cependant, il s'est avéré qu'il s'agit d'une variante macOS plus sophistiquée utilisant un système basé sur des plugins pour collecter divers types d'informations.
Chaîne d’attaque de la campagne LightSpy
L’analyse indique que la variante macOS est opérationnelle depuis au moins janvier 2024, ciblant environ 20 appareils, dont la plupart seraient des appareils de test.
La séquence d'attaque démarre avec l'exploitation de CVE-2018-4233, une vulnérabilité Safari WebKit, via des pages HTML menaçantes, déclenchant l'exécution de code. Cela conduit au déploiement d'un binaire Mach-O 64 bits déguisé en fichier image PNG.
La fonction principale du binaire est d'extraire et d'exécuter un script shell, qui récupère ensuite trois charges utiles supplémentaires : un exploit d'élévation de privilèges, un outil de cryptage/déchiffrement et une archive ZIP.
Ensuite, le script décompresse l'archive ZIP contenant les fichiers « update » et « update.plist », et attribue les privilèges root aux deux. Le fichier 'plist' assure la persistance, garantissant le lancement de l'autre fichier après chaque redémarrage du système.
Des plugins nuisibles permettent aux cybercriminels de capturer de nombreuses données
Le fichier « mise à jour », également connu sous le nom de macircloader, sert de chargeur pour le composant LightSpy Core. Ce composant permet la communication avec un serveur Command-and-Control (C2), permettant la récupération des commandes et les téléchargements de plugins.
La version macOS prend en charge 10 plugins différents, permettant diverses fonctionnalités telles que la capture audio à partir du microphone, la prise de photos, l'enregistrement de l'activité de l'écran, la collecte et la suppression de fichiers, l'exécution de commandes shell, la récupération de listes d'applications installées et de processus en cours d'exécution, et l'extraction de données à partir de navigateurs Web. (Safari et Google Chrome) et le trousseau iCloud.
De plus, deux autres plugins facilitent la collecte d'informations sur d'autres appareils appartenant au même réseau, répertoriant les réseaux Wi-Fi auxquels l'appareil est connecté et fournissant des détails sur les réseaux Wi-Fi à proximité.
Quelle que soit la plateforme ciblée, l’objectif principal du groupe d’acteurs menaçants était d’intercepter les communications des victimes, y compris les conversations de messagerie et les enregistrements vocaux. Un plugin dédié pour macOS a été développé spécifiquement pour la découverte du réseau, dans le but d'identifier les appareils à proximité de l'emplacement de la victime.
