Το BlackBerry ανέφερε ένα νέο malware iOS LightSpy, αλλά οι ερευνητές της Huntress βρήκαν ότι πρόκειται για μια παραλλαγή για macOS που στοχεύει την Intel ή την Apple Silicon με συσκευές με δυνατότητα Rosetta 2.
Δείτε επίσης: Η ομάδα Seedworm προωθεί malware μέσω εργαλείων RMM
Αυτό προκάλεσε σύγχυση στα μέσα ενημέρωσης, καθώς η πρόσφατη ειδοποίηση spyware της Apple πιθανότατα αναφερόταν στο λογισμικό κατασκοπείας Pegasus και δεν υπάρχουν στοιχεία για έκδοση iOS σε αυτήν την ανακάλυψη.
Οι ερευνητές εντόπισαν επίσης μια έκδοση Android (WyrmSpy), αλλά εστίασαν στην παραλλαγή του macOS σε αυτό το έγγραφο, παρέχοντας κανόνες ανίχνευσης για περαιτέρω έρευνα.
Η ανάλυση αποκαλύπτει ότι το δείγμα LightSpy malware στοχεύει αποκλειστικά το MacOS, επειδή τα δυαδικά αρχεία έχουν μεταγλωττιστεί για την αρχιτεκτονική x86_64, η οποία δεν είναι συμβατή με την αρχιτεκτονική ARM των iPhone. Η εντολή “αρχείο” μπορεί να χρησιμοποιηθεί για να το επιβεβαιώσετε και στις δύο πλατφόρμες.
Είναι ενδιαφέρον ότι η δομή του εμφυτεύματος παραμένει συνεπής και στις δύο εκδόσεις και χρησιμοποιεί ένα dropper για να φορτώσει τις επόμενες δυναμικές βιβλιοθήκες (dylibs) που περιέχουν τις βασικές κακόβουλες λειτουργίες.
Το macOS LightSpy malware χρησιμοποιεί ένα μανιφέστο πρόσθετων για την αποθήκευση πληροφοριών C2, προσφέροντας μεγαλύτερη ευελιξία και μειώνοντας την ανίχνευση. Ενώ και οι δύο εκδόσεις περιέχουν τεχνουργήματα προγραμματιστή, το macOS LightSpy προτείνει μια πιο οργανωμένη διαδικασία ανάπτυξης.
Δείτε ακόμα: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google
Έχουν εντοπιστεί δύο πιθανές μηχανές προγραμματιστών (“mac” και “air”), γεγονός που υποδηλώνει ότι οι προγραμματιστές πίσω από το LightSpy malware συνεχίζουν να βελτιώνουν το κακόβουλο λογισμικό τους.
Σύμφωνα με τη Huntrees, η έκδοση macOS αυτής της κατηγορίας εξαιρεί δεδομένα για συγκεκριμένα τηλέφωνα, όπως αριθμούς IMEI και IMSI, ενώ εργασίες όπως το getScreenSizeInches συμπεριφέρονται διαφορετικά και ενώ η έκδοση iOS επιστρέφει διαστάσεις για συγκεκριμένες συσκευές, η έκδοση macOS επιστρέφει μια γενική τιμή.
Η επικοινωνία με τον διακομιστή C2 συνεχίζεται μέσω WebSockets
χρησιμοποιώντας τη βιβλιοθήκη SocketRocket ανοιχτού κώδικα, διατηρώντας λειτουργίες όπως καρδιακοί παλμοί, ανταλλαγή εντολών και ενημερώσεις κατάστασης.Το MacOS LightSpy malware κατεβάζει 10 πρόσθετα, το καθένα με μοναδικό αναγνωριστικό, για την εκτέλεση διαφόρων κακόβουλων εργασιών, όπως το AudioRecorder για τη λήψη ήχου, το πρόγραμμα περιήγησης για πιθανή αλληλεπίδραση με προγράμματα περιήγησης ιστού και το CameraShot για τη λήψη φωτογραφιών.
Υπάρχουν επίσης προσθήκες με συγκεχυμένα ονόματα (σημειώνονται με “aaa”) που πιθανότατα αντιστοιχούν σε λειτουργίες όπως η συλλογή βασικών πληροφοριών συστήματος, η συλλογή πληροφοριών λογισμικού, η ανάκτηση δεδομένων τοποθεσίας και η πιθανή στόχευση συγκεκριμένων εφαρμογών iOS όπως WeChat, QQ και Telegram.
Δείτε επίσης: Το TheMoon malware μόλυνε 6.000 δρομολογητές της ASUS
Ποιες είναι οι καλύτερες τακτικές για την προστασία από το spyware;
Η ενημέρωση του λειτουργικού συστήματος και των εφαρμογών είναι ζωτικής σημασίας για προστασία από spyware όπως το LightSpy malware. Οι ενημερώσεις περιλαμβάνουν συχνά διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από το spyware. Χρησιμοποιήστε ένα αξιόπιστο πρόγραμμα anti-spyware. Τα προγράμματα αυτά μπορούν να ανιχνεύσουν και να αφαιρέσουν το spyware από τη συσκευή σας, προσφέροντας ένα επιπλέον επίπεδο προστασίας. Αποφύγετε την επίσκεψη ύποπτων ιστοσελίδων ή τη λήψη αρχείων από αναξιόπιστες πηγές. Προσέχετε τα emails που λαμβάνετε. Χρησιμοποιήστε ένα δίκτυο εικονικής ιδιωτικής σύνδεσης (VPN) για να προστατεύσετε την ιδιωτικότητα σας κατά την περιήγηση στο διαδίκτυο. Ελέγχετε τακτικά τις εφαρμογές και τα προγράμματα που έχουν εγκατασταθεί στη συσκευή σας. Αν ανακαλύψετε κάτι που δεν αναγνωρίζετε, ερευνήστε το ή αφαιρέστε το.
Πηγή: gbhackers