LightSpy è un noto tool di spionaggio, già utilizzato per accedere ai dispositivi Android e iOS. Gli esperti di ThreatFabric hanno recentemente individuato attacchi effettuati con una versione per macOS. Le prime tracce sono state scoperte all’inizio di gennaio. I cybercriminali sfruttano due vulnerabilità di WebKit.
Spyware per macOS
Le vulnerabilità presenti nel motore di rendering di Safari sono CVE-2018-4233 e CVE-2018-4404. Sono piuttosto vecchie, quindi è chiaro che i cybercriminali puntano ai Mac che non possono essere aggiornati (con macOS 10.13.3 e versioni precedenti). L’attacco inizia quando l’ignara vittima visita un sito web che sfrutta i bug per l’esecuzione di codice arbitrario.
Sul dispositivo viene copiata un’immagine PNG. In realtà è un’eseguibile Mach-O che lancia uno script. Quest’ultimo scarica tre file: ssudo
(exploit per escalation di privilegi), ddss
(utility per cifrare/decifrare i file) e un archivio ZIP che contiene due eseguibili (update
e update.list
).
Lo script assegna quindi i diritti di accesso root a questi due file e stabilisce la persistenza con update
(esecuzione all’avvio). Successivamente viene scaricato dal server C2 (command and control) il componente di LightSpy che esegue i comandi e gestisce i plugin (lo spyware è modulare).
I plugin identificati da ThreatFabric sono 10 e permettono di eseguire varie attività: registrazione dei suoni dal microfono, furto di dati dal browser, cattura di immagini dalla fotocamera, esfiltrazione dei dati, accesso alle informazioni conservate in macOS Keychain, identificazione dei dispositivi collegati alla rete locale, raccolta dell’elenco delle app installate, registrazione dello schermo, esecuzione di comandi di shell e raccolta dei dati della rete WiFi.
Si tratta quindi di un potente tool di spionaggio che può essere sfruttato per colpire determinati target.