Investigadores de ciberseguridad han descubierto que LightSpy, un spyware supuestamente dirigido a usuarios de Apple iOS, es en realidad una variante no documentada del implante macOS. Los hallazgos provienen de Huntress Labs y ThreatFabric, quienes analizaron por separado los artefactos asociados con el marco multiplataforma, que tiene la capacidad de infectar múltiples sistemas operativos y enrutadores de NETGEAR, Linksys y ASUS.
‘Al utilizar dos exploits disponibles públicamente (CVE-2018-4233, CVE-2018-4404), el grupo de actores de amenazas entregó los implantes para macOS‘, según ThreatFabric. LightSpy fue reportado por primera vez en 2020, pero se ha desvelado su conexión con una herramienta de vigilancia de Android llamada DragonEgg.
‘BlackBerry reveló recientemente una versión de LightSpy para iOS que en realidad es una variante más refinada para macOS‘, dijeron los investigadores. La versión de macOS ha estado activa desde al menos enero de 2024, limitándose a unos 20 dispositivos de prueba.
La cadena de ataque comienza con la explotación de CVE-2018-4233, seguida por la entrega de un binario MachO de 64 bits que se hace pasar por un archivo de imagen PNG. Este binario extrae y lanza otras tres cargas útiles: un exploit de escalada de privilegios, una utilidad de cifrado/decifrado y un archivo ZIP.
El análisis también reveló que la versión de macOS está equipada con 10 plugins diferentes, incluyendo funciones para capturar audio, tomar fotos, grabar la actividad de la pantalla, recopilar y eliminar archivos, y obtener datos de navegadores web y el llavero de iCloud.
Además, se descubrió una mala configuración que permitía el acceso al panel de C2, lo que contenía información sobre las víctimas y los datos asociados. Esta situación es preocupante, ya que los dispositivos Android también han sido atacados recientemente con troyanos bancarios, y se han descubierto ataques con el spyware Pegasus dirigidos a activistas y medios de comunicación en Letonia, Lituania y Polonia. Estos descubrimientos subrayan la importancia de proteger los sistemas y dispositivos contra las amenazas emergentes.
Vía The Hacker News
