{"id":1233779,"date":"2024-06-12T01:09:03","date_gmt":"2024-06-12T01:09:03","guid":{"rendered":"https:\/\/teknomers.com\/es\/variante-macos-del-software-espia-lightspy-encontrada-con-capacidades-de-vigilancia-avanzadas\/"},"modified":"2024-06-12T01:09:07","modified_gmt":"2024-06-12T01:09:07","slug":"variante-macos-del-software-espia-lightspy-encontrada-con-capacidades-de-vigilancia-avanzadas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/variante-macos-del-software-espia-lightspy-encontrada-con-capacidades-de-vigilancia-avanzadas\/","title":{"rendered":"Variante macOS del software esp\u00eda LightSpy encontrada con capacidades de vigilancia avanzadas"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Investigadores de ciberseguridad han revelado que el software esp\u00eda LightSpy identificado recientemente como dirigido a usuarios de Apple iOS es, de hecho, una variante del implante macOS previamente no documentada.<\/p>\n

Los hallazgos provienen de ambos Laboratorios cazadora<\/a> y AmenazaTejido<\/a>que analiz\u00f3 por separado los artefactos asociados con el marco de malware multiplataforma que probablemente posee capacidades para infectar Android, iOS, Windows, macOS, Linux y enrutadores de NETGEAR, Linksys y ASUS.<\/p>\n

“El grupo de actores de amenazas utiliz\u00f3 dos exploits disponibles p\u00fablicamente (CVE-2018-4233<\/a>, CVE-2018-4404<\/a>) para entregar implantes para macOS”, dijo ThreatFabric en un informe publicado la semana pasada. “Es probable que parte del exploit CVE-2018-4404 se haya tomado prestado del marco Metasploit. La versi\u00f3n 10 de macOS fue atacada mediante esos exploits”.<\/p>\n

LightSpy se inform\u00f3 p\u00fablicamente por primera vez en 2020, aunque informes posteriores de Lookout y la empresa holandesa de seguridad m\u00f3vil revelaron posibles conexiones entre el software esp\u00eda y una herramienta de vigilancia de Android llamada DragonEgg.<\/p>\n

A principios de abril, BlackBerry revel\u00f3 lo que dijo era una campa\u00f1a de ciberespionaje “renovada” dirigida a usuarios del sur de Asia para entregar una versi\u00f3n iOS de LightSpy. Pero ahora se ha descubierto que se trata de una versi\u00f3n de macOS mucho m\u00e1s refinada que emplea un sistema basado en complementos para recopilar diversos tipos de informaci\u00f3n.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Tambi\u00e9n vale la pena se\u00f1alar que, si bien esta muestra se carg\u00f3 recientemente en VirusTotal desde la India, no es un indicador particularmente fuerte de una campa\u00f1a activa, ni de una orientaci\u00f3n dentro de la regi\u00f3n”, dijeron los investigadores de Huntress Stuart Ashenbrenner y Alden Schmidt.<\/p>\n

“Es un factor que contribuye, pero sin m\u00e1s evidencia concreta o visibilidad de los mecanismos de entrega, se debe tomar con cautela”.<\/p>\n

El an\u00e1lisis de ThreatFabric ha revelado que la versi\u00f3n macOS ha estado activa desde al menos enero de 2024, pero confinada a unos 20 dispositivos, la mayor\u00eda de los cuales se dice que son dispositivos de prueba.<\/p>\n

La cadena de ataque comienza con la explotaci\u00f3n de CVE-2018-4233, una falla de Safari WebKit, a trav\u00e9s de p\u00e1ginas HTML fraudulentas para activar la ejecuci\u00f3n de c\u00f3digo, lo que lleva a la entrega de un binario Mach-O de 64 bits que se hace pasar por un archivo de imagen PNG.<\/p>\n

\"macOS<\/a><\/div>\n

El binario est\u00e1 dise\u00f1ado principalmente para extraer e iniciar un script de shell que, a su vez, recupera tres cargas \u00fatiles adicionales: un exploit de escalada de privilegios, una utilidad de cifrado\/descifrado y un archivo ZIP.<\/p>\n

Posteriormente, el script extrae el contenido del archivo ZIP (actualizaci\u00f3n y actualizaci\u00f3n.plist) y asigna privilegios de root a ambos. La lista de propiedades de informaci\u00f3n (lista<\/a>) se utiliza para configurar la persistencia del otro archivo, de modo que se inicie cada vez que se reinicie el sistema.<\/p>\n

El archivo de “actualizaci\u00f3n” (tambi\u00e9n conocido como macircloader) act\u00faa como un cargador para el componente LightSpy Core, permiti\u00e9ndole a este \u00faltimo establecer contacto con un servidor de comando y control (C2) y recuperar comandos, as\u00ed como descargar complementos.<\/p>\n

La versi\u00f3n de macOS viene con soporte para 10 complementos diferentes para capturar audio desde el micr\u00f3fono, tomar fotograf\u00edas, registrar la actividad de la pantalla, recopilar y eliminar archivos, ejecutar comandos de shell, obtener la lista de aplicaciones instaladas y procesos en ejecuci\u00f3n, y extraer datos de los navegadores web ( Safari y Google Chrome) y Llavero de iCloud.<\/p>\n

Otros dos complementos permiten adem\u00e1s capturar informaci\u00f3n sobre todos los dem\u00e1s dispositivos que est\u00e1n conectados a la misma red que la v\u00edctima, la lista de redes Wi-Fi a las que se ha conectado el dispositivo y detalles sobre las redes Wi-Fi cercanas.<\/p>\n

\"macOS<\/a><\/div>\n

“El Core sirve como despachador de comandos y complementos adicionales ampl\u00edan la funcionalidad”, se\u00f1al\u00f3 ThreatFabric. “Tanto el Core como los complementos podr\u00edan actualizarse din\u00e1micamente mediante un comando desde C2”.<\/p>\n

La firma de ciberseguridad dijo que pudo encontrar una mala configuraci\u00f3n que permiti\u00f3 acceder al panel C2, incluida una plataforma de control remoto, que contiene informaci\u00f3n sobre las v\u00edctimas y los datos asociados.<\/p>\n

“Independientemente de la plataforma objetivo, el grupo de actores de amenazas se centr\u00f3 en interceptar las comunicaciones de las v\u00edctimas, como conversaciones de mensajer\u00eda y grabaciones de voz”, dijo la compa\u00f1\u00eda. “Para macOS, se dise\u00f1\u00f3 un complemento especializado para el descubrimiento de redes, con el objetivo de identificar los dispositivos cercanos a la v\u00edctima”.<\/p>\n

\"La<\/a><\/center><\/div>\n

El desarrollo se produce cuando los dispositivos Android han sido atacados con troyanos bancarios conocidos como BankBot y SpyNote en ataques dirigidos a usuarios de aplicaciones de banca m\u00f3vil en Uzbekist\u00e1n<\/a> y Brasil<\/a>as\u00ed como por hacerse pasar por un proveedor de servicios de telecomunicaciones de M\u00e9xico<\/a> para infectar a usuarios en Am\u00e9rica Latina y el Caribe.<\/p>\n

Tambi\u00e9n viene como un informe de Accede ahora<\/a> y el laboratorio ciudadano<\/a> Se descubrieron pruebas de ataques de software esp\u00eda Pegasus dirigidos a siete activistas de la oposici\u00f3n de habla rusa y bielorrusa y a medios independientes en Letonia, Lituania y Polonia.<\/p>\n

“El uso del software esp\u00eda Pegasus para atacar a periodistas y activistas de habla rusa y bielorrusa se remonta al menos hasta 2020, con m\u00e1s ataques tras la invasi\u00f3n rusa a gran escala de Ucrania en febrero de 2022”, dijo Access Now, a\u00f1adiendo “un solo software esp\u00eda Pegasus “El operador puede estar detr\u00e1s del ataque a al menos tres de las v\u00edctimas y posiblemente a las cinco”.<\/p>\n

NSO Group, fabricante de Pegasus, en un declaraci\u00f3n<\/a> compartido con Meduza, dijo que no puede revelar informaci\u00f3n sobre clientes espec\u00edficos, pero se\u00f1al\u00f3 que solo vende sus herramientas a pa\u00edses aliados de Israel y los EE. UU. Dijo adem\u00e1s que iniciar\u00e1 una investigaci\u00f3n sujeta a la cual podr\u00e1 suspender o cancelar el servicio al cliente.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n