Pesquisadores de cibersegurança descobriram uma versão aprimorada do spyware LightSpy para iOS da Apple. Esta nova versão não apenas amplia suas funcionalidades, mas também incorpora recursos destrutivos, capazes de impedir o dispositivo comprometido de iniciar.
"Embora o método de entrega do implante no iOS seja bastante semelhante ao da versão para macOS, as etapas de pós-exploração e de escalonamento de privilégios diferem significativamente devido às diferenças entre as plataformas," explicou a ThreatFabric em uma análise publicada esta semana.
O LightSpy, documentado pela primeira vez em 2020 como uma ameaça focada em usuários de Hong Kong, é um implante modular com uma arquitetura baseada em plugins que amplia suas capacidades e permite a captura de uma ampla gama de informações sensíveis de dispositivos infectados.
As cadeias de ataque que distribuem o malware exploram falhas de segurança conhecidas no iOS e macOS, ativando um exploit do WebKit que baixa um arquivo com extensão “.PNG” (na verdade, um binário Mach-O) responsável por buscar outras cargas maliciosas de um servidor remoto, explorando uma falha de corrupção de memória rastreada como CVE-2020-3837.
Isso inclui um componente denominado FrameworkLoader, que, por sua vez, faz o download do módulo principal do LightSpy e seus plugins, que aumentaram de 12 para 28 na versão mais recente (7.9.0).
“Após a inicialização do módulo Core, ele realiza uma verificação de conectividade com a internet usando o domínio Baidu.com e verifica os parâmetros transmitidos pelo FrameworkLoader, como dados de comando e controle e o diretório de trabalho,” informou a empresa de segurança holandesa.
Usando o diretório de trabalho "/var/containers/Bundle/AppleAppLit/", o Core cria subpastas para logs, banco de dados e dados exfiltrados.
Os plugins podem capturar uma vasta gama de dados, incluindo informações de redes Wi-Fi, capturas de tela, localização, chaveiro do iCloud, gravações de áudio, fotos, histórico de navegação, contatos, histórico de chamadas e mensagens SMS, além de acessar informações de aplicativos como Arquivos, LINE, Mail Master, Telegram, Tencent QQ, WeChat e WhatsApp.
Alguns dos novos plugins também possuem recursos destrutivos, como apagar arquivos de mídia, mensagens SMS, perfis de configuração de Wi-Fi, contatos e histórico de navegação, podendo até mesmo congelar o dispositivo, impedindo-o de reiniciar. Além disso, os plugins do LightSpy podem gerar notificações falsas com URLs específicas.
Embora o meio exato de distribuição do spyware não esteja claro, acredita-se que seja propagado através de ataques “watering hole”. Até agora, as campanhas não foram atribuídas a um ator ou grupo específico.
Há indícios de que os operadores do LightSpy estejam baseados na China, pois o plugin de localização “recalcula coordenadas” usando um sistema de mapeamento exclusivo do país, o GCJ-02, comum nos serviços de mapa chineses.
“O caso do LightSpy no iOS destaca a importância de manter os sistemas sempre atualizados,” afirmou a ThreatFabric. “Os operadores por trás do LightSpy monitoram de perto publicações de pesquisadores de segurança, reutilizando novos exploits divulgados para distribuir cargas maliciosas e aumentar privilégios em dispositivos afetados.”
Via - THN
Comments