Des chercheurs en cybersécurité ont révélé que le logiciel espion LightSpy récemment identifié comme ciblant les utilisateurs Apple iOS est en fait une variante macOS de l’implant jusqu’alors non documentée.
Les conclusions proviennent des deux Laboratoires Chasseresse et Tissu de menacequi a analysé séparément les artefacts associés au cadre de malware multiplateforme qui possède probablement des capacités pour infecter Android, iOS, Windows, macOS, Linux et les routeurs de NETGEAR, Linksys et ASUS.
“Le groupe d’acteurs menaçants a utilisé deux exploits accessibles au public (CVE-2018-4233, CVE-2018-4404) pour fournir des implants pour macOS”, a déclaré ThreatFabric dans un rapport publié la semaine dernière. “Une partie de l’exploit CVE-2018-4404 est probablement empruntée au framework Metasploit. La version 10 de macOS a été ciblée par ces exploits.”
LightSpy a été signalé publiquement pour la première fois en 2020, bien que des rapports ultérieurs de Lookout et de la société néerlandaise de sécurité mobile aient révélé des liens possibles entre le logiciel espion et un outil de surveillance Android appelé DragonEgg.
Plus tôt en avril, BlackBerry a révélé ce qu’il a qualifié de campagne de cyberespionnage « renouvelée » ciblant les utilisateurs d’Asie du Sud afin de fournir une version iOS de LightSpy. Mais il s’avère maintenant qu’il s’agit d’une version macOS beaucoup plus raffinée qui utilise un système basé sur des plugins pour collecter divers types d’informations.
“Il convient également de noter que même si cet échantillon a été récemment téléchargé sur VirusTotal depuis l’Inde, il ne s’agit pas d’un indicateur particulièrement fort d’une campagne active, ni d’un ciblage dans la région”, ont déclaré les chercheurs de Huntress, Stuart Ashenbrenner et Alden Schmidt.
“C’est un facteur contributif, mais sans preuves plus concrètes ni visibilité sur les mécanismes de mise en œuvre, il doit être pris avec beaucoup de précautions.”
L’analyse de ThreatFabric a révélé que la version macOS est active dans la nature depuis au moins janvier 2024, mais limitée à une vingtaine d’appareils, dont une majorité seraient des appareils de test.
La chaîne d’attaque commence par l’exploitation de CVE-2018-4233, une faille Safari WebKit, via des pages HTML malveillantes pour déclencher l’exécution de code, conduisant à la livraison d’un binaire Mach-O 64 bits se faisant passer pour un fichier image PNG.
Le binaire est principalement conçu pour extraire et lancer un script shell qui, à son tour, récupère trois charges utiles supplémentaires : un exploit d’élévation de privilèges, un utilitaire de chiffrement/déchiffrement et une archive ZIP.
Le script extrait ensuite le contenu de l’archive ZIP – update et update.plist – et leur attribue les privilèges root. La liste des propriétés d’information (liste de plis) est utilisé pour configurer la persistance de l’autre fichier de telle sorte qu’il soit lancé à chaque fois après un redémarrage du système.
Le fichier « update » (alias macircloader) fait office de chargeur pour le composant LightSpy Core, permettant à ce dernier d’établir le contact avec un serveur de commande et de contrôle (C2) et de récupérer des commandes ainsi que de télécharger des plugins.
La version macOS prend en charge 10 plugins différents pour capturer l’audio du microphone, prendre des photos, enregistrer l’activité de l’écran, récolter et supprimer des fichiers, exécuter des commandes shell, récupérer la liste des applications installées et des processus en cours d’exécution et extraire des données des navigateurs Web ( Safari et Google Chrome) et le trousseau iCloud.
Deux autres plugins permettent en outre de capturer des informations sur tous les autres appareils connectés au même réseau que la victime, la liste des réseaux Wi-Fi auxquels l’appareil s’est connecté et des détails sur les réseaux Wi-Fi à proximité.
“Le Core sert de répartiteur de commandes et des plugins supplémentaires étendent la fonctionnalité”, a noté ThreatFabric. “Le Core et les plugins pourraient être mis à jour dynamiquement par une commande de C2.”
La société de cybersécurité a déclaré avoir trouvé une mauvaise configuration permettant d’accéder au panneau C2, y compris à une plateforme de contrôle à distance, qui contient des informations sur les victimes et les données associées.
« Quelle que soit la plate-forme ciblée, le groupe d’acteurs menaçants s’est concentré sur l’interception des communications des victimes, telles que les conversations de messagerie et les enregistrements vocaux », a indiqué la société. “Pour macOS, un plugin spécialisé a été conçu pour la découverte du réseau, visant à identifier les appareils à proximité de la victime.”
Ce développement intervient alors que les appareils Android ont été ciblés par des chevaux de Troie bancaires connus tels que BankBot et SpyNote dans le cadre d’attaques visant les utilisateurs d’applications bancaires mobiles en Ouzbékistan et Brésilainsi que par usurper l’identité d’un fournisseur de services de télécommunications mexicain pour infecter les utilisateurs d’Amérique latine et des Caraïbes.
Il s’agit également d’un rapport de Accédez maintenant et le laboratoire citoyen a découvert des preuves d’attaques du logiciel espion Pegasus ciblant sept militants de l’opposition et des médias indépendants parlant russe et biélorusse en Lettonie, en Lituanie et en Pologne.
“L’utilisation du logiciel espion Pegasus pour cibler des journalistes et des militants russophones et biélorusses remonte au moins jusqu’en 2020, avec d’autres attaques après l’invasion à grande échelle de l’Ukraine par la Russie en février 2022”, a déclaré Access Now, ajoutant “un seul logiciel espion Pegasus”. L’opérateur pourrait être à l’origine du ciblage d’au moins trois des victimes, voire des cinq.”
Le fabricant de Pegasus NSO Group, dans un déclaration partagé avec Meduza, a déclaré qu’il ne pouvait pas divulguer d’informations sur des clients spécifiques, mais a noté qu’il ne vendait ses outils qu’à des pays alliés avec Israël et les États-Unis. Il a en outre déclaré qu’il ouvrirait une enquête à la suite de laquelle il pourrait suspendre ou mettre fin au service client.





