近日，有研究人员发现 LightSpy 监控框架出现了 macOS 版本，这说明该工具的影响力日益广泛，因为此前该工具只以安卓和 iOS 设备为目标。

LightSpy 是一个模块化的 iOS 和 Android 监控框架，可以从人们的移动设备中窃取各种数据，包括文件、屏幕截图、位置数据（包括楼宇层数）、微信通话中的语音记录、微信支付中的支付信息，以及 Telegram 和 QQ Messenger 中的数据外渗等等。

根据 ThreatFabric 的一份新报告显示，至少从 2024 年 1 月起，一种 macOS 植入程序就开始在野外活动。不过，它目前似乎仅限于在测试环境运行，网络安全研究人员使用的受感染机器屈指可数。

利用漏洞入侵 macOS

威胁方利用 WebKit 缺陷 CVE-2018-4233 和 CVE-2018-4404 在 Safari 中触发代码执行，目标是 macOS 10.13.3 及更早版本。

控制面板中的感染日志，来源：ThreatFabric

最初，一个伪装成 PNG 图像文件（“20004312341.png”）的 64 位 MachO 二进制文件会被发送到设备上，解密并执行嵌入式脚本以获取第二阶段。

第二阶段有效载荷会下载权限升级漏洞（“ssudo”）、加密/解密实用程序（“dsds”）和包含两个可执行文件（“update ”和 “update.plist”）的 ZIP 压缩包（“mac.zip”）。

最终，shell 脚本会解密并解压这些文件，获得被入侵设备的 root 访问权限，并通过配置 “update ”二进制文件在启动时运行，在系统上建立持久性。

MacOS 感染链上的 LightSpy，来源：ThreatFabric

下一步由一个名为 “macircloader ”的组件执行，它负责下载、解密和执行 LightSpy Core。

它充当间谍软件框架的中央插件管理系统，负责与命令和控制（C2）服务器通信。

LightSpy core还能在设备上执行shell命令，更新网络配置，并设置活动时间表以躲避检测。

LightSpy插件

LightSpy框架利用各种插件扩展其间谍功能，这些插件可在被入侵设备上执行特定操作。

虽然该恶意软件在安卓系统上使用了14个插件，在iOS植入系统上使用了16个插件，但macOS版本使用了以下10个插件：

• 声音记录： 从麦克风捕捉声音。
• 浏览器： 从常用网络浏览器中提取浏览数据。
• 摄像头模块： 使用设备的摄像头拍摄照片。
• FileManage：文件管理： 管理和外泄文件，尤其是从信息应用程序中。
• 钥匙串 检索存储在 macOS 钥匙串中的敏感信息。
• LanDevices： 识别并收集同一本地网络中的设备信息。
• softlist：软列表： 列出已安装的应用程序和正在运行的进程。
• ScreenRecorder: 屏幕录像机： 记录设备的屏幕活动。
• ShellCommand： 在受感染设备上执行 shell 命令。
• wifi： 收集设备连接的 Wi-Fi 网络数据。

这些插件使 LightSpy 能够从受感染的 macOS 系统中执行全面的数据渗出，而其模块化的设计赋予了它操作的灵活性。

ThreatFabric 在报告中指出，他们对攻击者面板的访问证实了 Windows、Linux 和路由器植入程序的确存在，但无法确定它们在攻击中是如何使用的。

但尽管ThreatFabric有所发现，但有关LightSpy“谜题”的某些方面仍然难以捉摸。

目前还没有证据证实存在针对Linux和路由器的植入程序，也没有具体的信息说明它们是如何交付的。不过，根据面板分析，可以确定它们存在一定的潜在功能。

参考来源：macOS version of elusive 'LightSpy' spyware tool discovered (bleepingcomputer.com)

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022