Variante macOS do LightSpy Spyware and adware encontrada com recursos avançados de vigilância
![](https://i2.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaej8cqvIto1YJTv7rSUcU3qgZDGFbRpH2zuwEAk89ByKmMfX3qFu0nrpwiOJejoy1_MqF8iIIID3ZUWXgOcalvuhup3yELnWXWJ1fMzo51x6Ev6kqZD9_PG9A_CAdDj2RYJ4LdfwKSJgEf5WvpI-66ZfC_9AwYARV7wzbJd-7KjyZDx0L5dakiLyA-C95/s728-rw-e365/exploit.png?w=780&resize=780,470&ssl=1)
![macOS do LightSpy Spyware macOS do LightSpy Spyware](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgaej8cqvIto1YJTv7rSUcU3qgZDGFbRpH2zuwEAk89ByKmMfX3qFu0nrpwiOJejoy1_MqF8iIIID3ZUWXgOcalvuhup3yELnWXWJ1fMzo51x6Ev6kqZD9_PG9A_CAdDj2RYJ4LdfwKSJgEf5WvpI-66ZfC_9AwYARV7wzbJd-7KjyZDx0L5dakiLyA-C95/s728-rw-e365/exploit.png)
Pesquisadores de segurança cibernética revelaram que o LightSpy o adware supostamente direcionado a usuários do Apple iOS é, na verdade, uma variante do implante do macOS anteriormente não documentada.
As descobertas vêm do Huntress Labs e do ThreatFabric, que analisaram separadamente os artefatos associados à estrutura de malware de plataforma cruzada que provavelmente possui recursos para infectar Android, iOS, Home windows, macOS, Linux e roteadores da NETGEAR, Linksys e ASUS.
“O grupo de atores do Menace usou duas explorações disponíveis publicamente (CVE-2018-4233, CVE-2018-4404) para fornecer implantes para macOS”, disse ThreatFabric em um relatório publicado na semana passada. “Parte da exploração CVE-2018-4404 provavelmente foi emprestada da estrutura Metasploit. A versão 10 do macOS foi direcionada por meio dessas explorações.”
O LightSpy foi relatado publicamente pela primeira vez em 2020, embora relatórios subsequentes da Lookout e da empresa holandesa de segurança móvel tenham revelado possíveis conexões entre o adware e uma ferramenta de vigilância Android chamada DragonEgg.
No início de abril, a BlackBerry divulgou o que disse ser uma campanha “renovada” de espionagem cibernética visando usuários no sul da Ásia para fornecer uma versão iOS do LightSpy. Mas agora foi descoberto que esta é uma versão do macOS muito mais refinada que emprega um sistema baseado em plug-in para coletar vários tipos de informações.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgR7E1qRRSUEJ-s4SYjJyg86aIAQOaMp5FvpkoqPyXA96orlo56U7cHxx_4exvmzX4D7da3V5rwTh9UsPKdnmuFevloSDG9qHTWmIewJYxRXDLD5129MODBMllFC5Wt8eyQCWEOpJbKhjYFXxAtpOnMzgfxTpSJqW8Ox2XvXu46YwHR9X7lKof0ZREICgHy/s728-e365/1p-d-v3.png)
“Também vale a pena notar que, embora esta amostra tenha sido carregada recentemente no VirusTotal da Índia, este não é um indicador particularmente forte de uma campanha ativa, nem de segmentação na região”, disseram os pesquisadores da Huntress, Stuart Ashenbrenner e Alden Schmidt.
“É um fator que contribui, mas sem evidências mais concretas ou visibilidade dos mecanismos de entrega, deve ser encarado com cautela.”
A análise do ThreatFabric revelou que o tipo macOS está ativo desde pelo menos janeiro de 2024, mas confinado a apenas cerca de 20 dispositivos, a maioria dos quais são considerados dispositivos de teste.
A cadeia de ataque começa com a exploração do CVE-2018-4233, uma falha do Safari WebKit, por meio de páginas HTML não autorizadas para acionar a execução de código, levando à entrega de um binário MachO de 64 bits que se disfarça como um arquivo de imagem PNG.
![macOS do LightSpy Spyware macOS do LightSpy Spyware](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgAjllepjdngk6iGxXd34RU7umRbPbIIl9V_6fOqSsXfwOZ6wHou1PBVxc5UqNqrZ8L2S3jdQhUwEKX3SFs64cJbjnqEppnc3kAf1vupylf18lGtzqa7OnwTOtfpLydYXogN8R0EKX5730FV2e5Q0fqzXCYPd9lXSoNh0ptq255B0Bjx20kMpXcH0ZMWCs6/s728-rw-e365/data.png)
O binário é projetado principalmente para extrair e iniciar um script de shell que, por sua vez, busca três cargas adicionais: uma exploração de escalonamento de privilégios, um utilitário de criptografia/descriptografia e um arquivo ZIP.
O script posteriormente extrai o conteúdo do arquivo ZIP – replace e replace.plist – e atribui privilégios de root a ambos. O arquivo de lista de propriedades de informações (plist) é usado para configurar a persistência para o outro arquivo, de forma que ele seja iniciado sempre após a reinicialização do sistema.
O arquivo de “atualização” (também conhecido como macircloader) atua como um carregador para o componente LightSpy Core, permitindo que este estabeleça contato com um servidor de comando e controle (C2) e recupere comandos, bem como baixe plug-ins.
A versão macOS vem com suporte para 10 plug-ins diferentes para capturar áudio do microfone, tirar fotos, gravar atividades na tela, coletar e excluir arquivos, executar comandos shell, obter a lista de aplicativos instalados e processos em execução e extrair dados de navegadores da internet ( Safari e Google Chrome) e Chaves do iCloud.
Dois outros plugins permitem ainda capturar informações sobre todos os outros dispositivos que estão conectados à mesma rede da vítima, a lista de redes Wi-Fi às quais o dispositivo está conectado e detalhes sobre as redes Wi-Fi próximas.
![macOS do LightSpy Spyware macOS do LightSpy Spyware](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-2qRVHCVUwBH6rFWtExJmjCifV0d20ar7h19IjWuawvVGvosuC24pxYJTZROguIPm7voEfyoltbF543mdkExJMT1rUo125cDAkdlFbgd_HeP3Q1_help2xueEBH25tfU1JG-z9x308548EjlWVx6-uvZ6JgcIeERF-XkpsJdY4Gcj5BgWf_Wvg-o2BmRq/s728-rw-e365/plugin.png)
“O Core serve como um despachante de comando e plug-ins adicionais ampliam a funcionalidade”, observou ThreatFabric. “Tanto o Core quanto os plugins podem ser atualizados dinamicamente por um comando do C2.”
A empresa de cibersegurança afirmou ter encontrado uma configuração errada que permitiu o acesso ao painel C2, incluindo uma plataforma de controlo remoto, que contém informações sobre as vítimas e os dados associados.
“Independentemente da plataforma visada, o grupo de atores da ameaça se concentrou em interceptar as comunicações das vítimas, como conversas de mensagens e gravações de voz”, disse a empresa. “Para o macOS, foi desenvolvido um plugin especializado para descoberta de rede, com o objetivo de identificar dispositivos próximos à vítima.”
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNS3KFIZ1kUzX9UAyIXkbApCqvKVe4YB7J7YxS5pyT89_UulKpYdfjxFzpEtKx1mkKxptph1SCYggLbhJDkGbKinHSktbbkeXeYBqil8kXuFRmXI-z3FdKj2qTdIYb5vdqZ-mb_NBp3AMTlAP7s4X9r14mq7rDBORzMWvL3CWY8vfZXFKBhdl3-x0BxK89/s728-e365/ad-d.jpg)
O desenvolvimento ocorre no momento em que os dispositivos Android são alvo de trojans bancários conhecidos, como BankBot e SpyNote, em ataques direcionados a usuários de aplicativos bancários móveis no Uzbequistão e no Brasil, bem como se passando por um provedor de serviços de telecomunicações do México para infectar usuários na América Latina e no Caribe. .
Também surge no momento em que um relatório do Entry Now e do Citizen Lab descobriu provas de ataques de adware Pegasus contra sete activistas da oposição de língua russa e bielorrussa e meios de comunicação independentes na Letónia, Lituânia e Polónia.
“O uso do adware Pegasus para atingir jornalistas e ativistas de língua russa e bielorrussa remonta pelo menos a 2020, com mais ataques após a invasão em grande escala da Ucrânia pela Rússia em fevereiro de 2022”, disse Entry Now, acrescentando “um único adware Pegasus operador pode estar por trás do ataque a pelo menos três das vítimas e possivelmente a todas as cinco.”