Os pesquisadores de cibersegurança divulgaram que o spyware LightSpy, recentemente identificado como alvo de usuários do Apple iOS, é na verdade uma variante do implante macOS não documentada anteriormente.
As descobertas vêm tanto da Huntress Labs quanto da ThreatFabric, que analisaram separadamente os artefatos associados ao malware de plataforma cruzada que provavelmente possui capacidades para infectar Android, iOS, Windows, macOS, Linux e roteadores da NETGEAR, Linksys e ASUS.
O LightSpy foi relatado pela primeira vez publicamente em 2020, mas relatórios subsequentes da Lookout e da empresa de segurança móvel holandesa revelaram possíveis conexões entre o spyware e uma ferramenta de vigilância do Android chamada DragonEgg.
No início deste mês de abril, a BlackBerry divulgou o que disse ser uma campanha de espionagem cibernética “renovada” que visava usuários no sul da Ásia para entregar uma versão do iOS do LightSpy. Mas foi descoberto que se trata de uma versão macOS muito mais refinada que utiliza um sistema baseado em plugins para coletar vários tipos de informações.
A análise da ThreatFabric revelou que a versão macOS está ativa desde pelo menos janeiro de 2024, mas confinada a cerca de 20 dispositivos, a maioria dos quais seriam dispositivos de teste.
A cadeia de ataque começa com a exploração do CVE-2018-4233, uma falha do Safari WebKit, por meio de páginas HTML falsas para acionar a execução de código, levando à entrega de um binário Mach-O de 64 bits que se disfarça como um arquivo de imagem PNG.
O binário é projetado principalmente para extrair e lançar um script de shell que, por sua vez, busca três cargas adicionais: um exploit de escalonamento de privilégios, um utilitário de criptografia/descriptografia e um arquivo ZIP.
O script subsequentemente extrai o conteúdo do arquivo ZIP – atualização e update.plist – e atribui privilégios de root a ambos. O arquivo de lista de propriedades de informação (plist) é usado para configurar a persistência para o outro arquivo de forma que seja iniciado toda vez após uma reinicialização do sistema.
O arquivo “update” (também conhecido como macircloader) atua como um carregador para o componente LightSpy Core, permitindo que este estabeleça contato com um servidor de comando e controle (C2) e receba comandos, bem como faça download de plugins.
A versão macOS vem com suporte para 10 plugins diferentes para capturar áudio do microfone, tirar fotos, gravar a atividade da tela, coletar e excluir arquivos, executar comandos de shell, grab a lista de aplicativos instalados e processos em execução e extrair dados dos navegadores da web (Safari e Google Chrome) e do iCloud Keychain.
Dois outros plugins tornam possível capturar informações sobre todos os outros dispositivos que estão conectados à mesma rede que a vítima, a lista de redes Wi-Fi às quais o dispositivo se conectou e detalhes sobre as redes Wi-Fi próximas.
“O Core funciona como um despachante de comandos e plugins adicionais ampliam a funcionalidade”, observou a ThreatFabric. “Tanto o Core quanto os plugins podem ser atualizados dinamicamente por um comando do C2.”
A empresa de cibersegurança disse ter encontrado uma configuração incorreta que permitiu o acesso ao painel C2, incluindo uma plataforma de controle remoto, que contém informações sobre as vítimas e os dados associados.
“Independentemente da plataforma alvo, o grupo de atores focou em interceptar as comunicações das vítimas, como conversas em mensageiros e gravações de voz,” disse a empresa. “Para o macOS, foi desenvolvido um plugin especializado para descoberta de rede, com o objetivo de identificar dispositivos próximos à vítima.”
Isso ocorre enquanto dispositivos Android têm sido alvo de trojans bancários conhecidos, como o BankBot e o SpyNote, em ataques direcionados aos usuários de aplicativos bancários móveis do Uzbequistão e do Brasil, assim como por meio de uma impersonação de um provedor de serviços de telecomunicações do México para infectar usuários na América Latina e no Caribe.
Isso também acontece quando um relatório da Access Now e do Citizen Lab descobriu evidências de ataques de spyware Pegasus direcionados a sete ativistas de oposição de língua russa e bielorrussa e mídia independente na Letônia, Lituânia e Polônia.
“Toda vez que um operador da Pegasus está por trás do direcionamento de pelo menos três das vítimas e possivelmente de todas as cinco,” disse a Access Now, acrescentando que um único operador do spyware Pegasus pode estar por trás do direcionamento de pelo menos três das vítimas, e possivelmente de todas as cinco.
A NSO Group, fabricante do Pegasus, em uma declaração compartilhada com a Meduza, disse que não pode divulgar informações sobre clientes específicos, mas observou que vende suas ferramentas apenas para países aliados de Israel e dos EUA. Ele disse ainda que iniciará uma investigação, podendo suspender ou encerrar o serviço ao cliente.