最近的发现显示，臭名昭著的 LightSpy 监控框架现在已经有了 macOS 版本，而此前该框架主要针对 Android 和 iOS 设备。这一发现证实了 LightSpy 的影响范围已经超越了移动设备，对 macOS 用户构成了新的威胁。以下是所有细节！

LightSpy 扩大的威胁范围

LightSpy 是一个复杂的监控工具，用于从被入侵的设备中窃取各种数据。它可以提取文件、捕捉萤幕截图、记录位置数据、录制 WeChat 的语音通话，并窃取 WeChat Pay 的支付信息。它还会针对 Telegram 和 QQ Messenger 的数据。

LightSpy 背后的攻击者主要集中在亚太地区的受害者。根据最近的 ThreatFabric 报告，macOS 版本自 2024 年 1 月以来已在野外活动。目前，其活动似乎主要限于测试环境和一些由网络安全研究人员使用的机器。

LightSpy 如何入侵 macOS 设备

LightSpy 透过利用已知的 WebKit 漏洞来侵犯 macOS，特别是 CVE20184233 和 CVE20184404。这些漏洞允许间谍软件在 macOS 10133 及更早版本的 Safari 中执行代码。

感染过程以一个假装成 PNG 图像文件“20004312341png”的 64 位 MachO 二进位文件开始。一旦传递到目标设备，该文件便会解密并执行嵌入的脚本以获取第二阶段的有效载荷。

第二阶段涉及下载几个组件：

这些文件由一个 shell 脚本解密并解压，然后获得受感染设备的根访问权限，并通过配置“update”二进位文件在启动时运行来确保持久性。

LightSpy macOS 变体感染链来源：ThreatFabric

接下来的过程涉及一个名为“macircloader”的组件，负责下载、解密并执行 LightSpy 核心。这一核心模块管理插件并维持与指挥和控制C2伺服器的通信。它可以执行 shell 命令、更新网络配置以及设置活动计划以避免被检测。

LightSpy 使用的插件

LightSpy 的 macOS 版本使用各种插件来执行特定的监控功能。虽然 Android 变体使用 14 个插件，iOS 版本使用 16 个，但 macOS 植入版使用十个。

插件 描述 soundrecord 从设备的麦克风捕获音频。 browser 提取浏览器的浏览数据如访问的网站。 cameramodule 在用户不知情的情况下使用设备相机拍照。 FileManage 管理并窃取文件，特别是来自消息应用的文件。 keychain 从 macOS 键链中检索敏感数据。 LanDevices 识别并收集同一局域网上的设备信息。 softlist 列出系统上所有安装的应用程序和运行中的进程。 ScreenRecorder 录制设备的所有萤幕活动。 ShellCommand 在受感染的设备上执行各种 shell 命令。 wifi 收集设备连接的 WiFi 网络的信息。

这些插件使 LightSpy 能够从受感染的 macOS 系统进行全面的监控和数据窃取，成为攻击者的多功能工具。

潜在的威胁超越 macOS

ThreatFabric 的报告还指出，存在针对 Windows、Linux 和路由器的 LightSpy 植入物，但其部署和在攻击中使用的具体情况尚不清楚。

虽然 LightSpy 的全部能力仍在调查中，但这一发现突显了监控工具日益增长的复杂性，以及各平台上需要采取坚实的 网络安全 措施的必要性。

请保持警觉，确保系统保持最新，以保护免受此类威胁。发现 LightSpy macOS 变体提醒我们，网络安全风险的环境正在不断演变。

Anas Hasan

2024年5月31日

5个月前

Anas Hassan 是一位科技爱好者和网络安全爱好者。他在数字转型行业拥有丰富的经验。当 Anas 不在写博客时，他会观看足球比赛。