Une version macOS du framework de surveillance LightSpy a été découverte, confirmant la portée étendue d’un outil uniquement connu auparavant pour cibler les appareils Android et iOS.

WeChat WeChat est un framework de surveillance modulaire iOS et Android utilisé pour voler une grande variété de données sur les appareils mobiles des utilisateurs, y compris des fichiers, des captures d’écran, des données de localisation (y compris les numéros d’étage des bâtiments), des enregistrements vocaux pendant les appels WeChat et des informations de paiement de WeChat Pay, et l’exfiltration de données de Telegram et QQ Messenger.

Les attaquants à l’origine du framework l’utilisent dans des attaques contre des cibles dans la région Asie–Pacifique.

Selon un nouveau rapport de ThreatFabric, un implant macOS a été découvert actif dans la nature depuis au moins janvier 2024. Cependant, son fonctionnement semble actuellement limité aux environnements de test, et une poignée de machines infectées sont utilisées par les chercheurs en cybersécurité.

Les chercheurs ont infiltré le panneau de configuration de LightSpy en exploitant une mauvaise configuration qui permettait un accès non autorisé à l’interface authentifiée, obtenant des informations sur les fonctionnalités, l’infrastructure et les appareils infectés.

Utiliser des exploits pour compromettre macOS
Les auteurs de la menace utilisent les failles WebKit CVE-2018-4233 et CVE-2018-4404 pour déclencher l’exécution de code dans Safari, ciblant macOS 10.13.3 et versions antérieures.

Journaux d’infection à partir du panneau de configuration

Initialement, un binaire MachO 64 bits déguisé en fichier image PNG (« 20004312341.png ») est livré sur l’appareil, déchiffrant et exécutant des scripts intégrés qui récupèrent la deuxième étape.

La charge utile de la deuxième étape télécharge un exploit d’escalade de privilèges (« ssid »), un utilitaire de chiffrement/déchiffrement (« ddss ») et une archive ZIP (« mac.zip ») contenant deux exécutables (« update » et  » update.pliste »).

Finalement, le script shell déchiffre et décompresse ces fichiers, obtenant un accès root sur le périphérique compromis et établissant la persistance sur le système en configurant le binaire « update » pour qu’il s’exécute au démarrage.

Light Spy sur la chaîne d’infection macOS

L’étape suivante est effectuée par un composant appelé « macircloader », qui télécharge, déchiffre et exécute LightSpy Core.

Celui – ci agit en tant que système central de gestion des plug-ins pour le framework de logiciels espions et est responsable des communications avec le serveur de commande et de contrôle (C2).

Light Spi core peut également exécuter des commandes shell sur l’appareil, mettre à jour sa configuration réseau et définir un calendrier d’activité pour échapper à la détection.

Plugins de lumières
Le framework Light Spi étend ses fonctionnalités d’espionnage à l’aide de divers plugins qui effectuent des actions spécifiques sur l’appareil compromis.

Bien que le malware utilise 14 plugins sur Android et 16 plugins sur son implant iOS, la version macOS utilise les dix suivants:

  1. enregistrement sonore: Capture le son du microphone.
  2. navigateur: Extrait les données de navigation des navigateurs Web populaires.
  3. module appareil photo: Prend des photos à l’aide de l’appareil photo de l’appareil.
  4. Gestionnaire de fichiers: Gère et exfiltrer des fichiers, en particulier à partir d’applications de messagerie.
  5. trousseau: Récupère les informations sensibles stockées dans le trousseau macOS.
  6. Périphériques Lan: Identifie et rassemble des informations sur les périphériques sur le même réseau local.
  7. softlist: répertorie les applications installées et les processus en cours d’exécution.
  8. Enregistreur d’écran: Enregistre l’activité de l’écran de l’appareil.
  9. Commande Shell: Exécute les commandes shell sur le périphérique infecté.
  10. wifi: Collecte des données sur les réseaux Wi-Fi auxquels l’appareil est connecté.

Ces plugins permettent à Light Spy d’effectuer une exfiltration complète des données des systèmes mac OS infectés, tandis que sa conception modulaire lui confère une flexibilité opérationnelle.

Threat Fabric note dans son rapport que leur accès au panneau de l’attaquant a confirmé que des implants pour Windows, Linux et des routeurs existent mais n’a pas pu déterminer comment ils sont utilisés dans les attaques.

«  »Malgré nos découvertes, certains aspects de l’énigme de Light Spy restent insaisissables », conclut Threat Fabric.

« Il n’y a aucune preuve confirmant l’existence d’implants pour Linux et les routeurs, ni aucune information sur la façon dont ils pourraient être livrés. Cependant, leur fonctionnalité potentielle est connue sur la base d’une analyse de panel. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *