Nel panorama delle minacce informatiche, un nuovo capitolo si apre con la scoperta di una versione del noto spyware “LightSpy” ora rivolta agli utenti di macOS. Questo strumento di spionaggio modulare, precedentemente noto per aver colpito dispositivi Android e iOS, è stato recentemente individuato in attacchi mirati anche contro il sistema operativo di Apple.
La scoperta
Gli esperti di sicurezza di ThreatFabric hanno rilevato le prime tracce di questa versione per macOS all’inizio di gennaio. I cybercriminali hanno sfruttato due vulnerabilità note di WebKit, identificate come CVE-2018-4233 e CVE-2018-4404, per eseguire codice arbitrario sui dispositivi non aggiornati, ovvero quelli con macOS 10.13.3 o versioni precedenti.
Catena d’infezione
L’attacco si innesca visitando un sito web la cui pagina index.html sfrutta la vulnerabilità WebKit all’interno di Safari per eseguire l’esecuzione di codice arbitrario senza privilegi e scaricare un’immagine PNG sul dispositivo.
Tuttavia, questa immagine è in realtà un file eseguibile Mach-O che avvia uno script. Questo script procede poi al download di tre file chiave:
- ‘ssudo’, un exploit per l’escalation dei privilegi;
- ‘ddss’, un’utilità per la cifratura e decifratura dei file;
- un archivio ZIP contenente due eseguibili, ‘update’ e ‘updatelist’.
Lo script assegna i diritti di accesso root a questi file e stabilisce la persistenza con ‘update’, che si esegue all’avvio del sistema.
Le capacità di LightSpy
Una volta stabilita la presenza sul dispositivo, il componente di LightSpy scaricato dal server di comando e controllo C2 esegue i comandi e gestisce 10 plugin.
I plugin identificati permettono varie attività malevole: registrazione ambientale tramite microfono, furto di dati dai browser, cattura di immagini dalla webcam, esfiltrazione di dati sensibili, accesso alle informazioni salvate nel macOS Keychain, identificazione dei dispositivi connessi alla rete locale, raccolta dell’elenco delle app installate, registrazione dello schermo, esecuzione di comandi di shell e raccolta dei dati della rete WiFi.
Conclusione
Questa scoperta sottolinea l’importanza di mantenere i sistemi operativi aggiornati e di adottare pratiche di sicurezza informatica robuste. LightSpy rappresenta una minaccia significativa anche per gli utenti di macOS, specialmente per coloro che utilizzano versioni del sistema operativo non più supportate da aggiornamenti di sicurezza.
Per ulteriori dettagli tecnici e approfondimenti sull’argomento, si rimanda al rapporto di ThreatFabric.