{"id":1194119,"date":"2024-06-11T04:34:55","date_gmt":"2024-06-11T06:34:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-variante-macos-de-lightspy-spyware-trouvee-avec-des-capacites-de-surveillance-avancees\/"},"modified":"2024-06-11T04:35:03","modified_gmt":"2024-06-11T06:35:03","slug":"la-variante-macos-de-lightspy-spyware-trouvee-avec-des-capacites-de-surveillance-avancees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-variante-macos-de-lightspy-spyware-trouvee-avec-des-capacites-de-surveillance-avancees\/","title":{"rendered":"La variante macOS de LightSpy Spyware trouv\u00e9e avec des capacit\u00e9s de surveillance avanc\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/La-variante-macOS-de-LightSpy-Spyware-trouvee-avec-des-capacites.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 que le logiciel espion LightSpy r\u00e9cemment identifi\u00e9 comme ciblant les utilisateurs Apple iOS est en fait une variante macOS de l&#8217;implant jusqu&#8217;alors non document\u00e9e.<\/p>\n<p>Les conclusions proviennent des deux <a rel=\"nofollow noopener\" href=\"https:\/\/www.huntress.com\/blog\/lightspy-malware-variant-targeting-macos\" target=\"_blank\">Laboratoires Chasseresse<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.threatfabric.com\/blogs\/lightspy-implant-for-macos\" target=\"_blank\">Tissu de menace<\/a>qui a analys\u00e9 s\u00e9par\u00e9ment les artefacts associ\u00e9s au cadre de malware multiplateforme qui poss\u00e8de probablement des capacit\u00e9s pour infecter Android, iOS, Windows, macOS, Linux et les routeurs de NETGEAR, Linksys et ASUS.<\/p>\n<p>&#8220;Le groupe d&#8217;acteurs mena\u00e7ants a utilis\u00e9 deux exploits accessibles au public (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-4233\" target=\"_blank\">CVE-2018-4233<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-4404\" target=\"_blank\">CVE-2018-4404<\/a>) pour fournir des implants pour macOS&#8221;, a d\u00e9clar\u00e9 ThreatFabric dans un rapport publi\u00e9 la semaine derni\u00e8re. &#8220;Une partie de l&#8217;exploit CVE-2018-4404 est probablement emprunt\u00e9e au framework Metasploit.  La version 10 de macOS a \u00e9t\u00e9 cibl\u00e9e par ces exploits.&#8221;<\/p>\n<p>LightSpy a \u00e9t\u00e9 signal\u00e9 publiquement pour la premi\u00e8re fois en 2020, bien que des rapports ult\u00e9rieurs de Lookout et de la soci\u00e9t\u00e9 n\u00e9erlandaise de s\u00e9curit\u00e9 mobile aient r\u00e9v\u00e9l\u00e9 des liens possibles entre le logiciel espion et un outil de surveillance Android appel\u00e9 DragonEgg.<\/p>\n<p>Plus t\u00f4t en avril, BlackBerry a r\u00e9v\u00e9l\u00e9 ce qu&#8217;il a qualifi\u00e9 de campagne de cyberespionnage \u00ab renouvel\u00e9e \u00bb ciblant les utilisateurs d&#8217;Asie du Sud afin de fournir une version iOS de LightSpy.  Mais il s\u2019av\u00e8re maintenant qu\u2019il s\u2019agit d\u2019une version macOS beaucoup plus raffin\u00e9e qui utilise un syst\u00e8me bas\u00e9 sur des plugins pour collecter divers types d\u2019informations.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Il convient \u00e9galement de noter que m\u00eame si cet \u00e9chantillon a \u00e9t\u00e9 r\u00e9cemment t\u00e9l\u00e9charg\u00e9 sur VirusTotal depuis l&#8217;Inde, il ne s&#8217;agit pas d&#8217;un indicateur particuli\u00e8rement fort d&#8217;une campagne active, ni d&#8217;un ciblage dans la r\u00e9gion&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Huntress, Stuart Ashenbrenner et Alden Schmidt.<\/p>\n<p>&#8220;C&#8217;est un facteur contributif, mais sans preuves plus concr\u00e8tes ni visibilit\u00e9 sur les m\u00e9canismes de mise en \u0153uvre, il doit \u00eatre pris avec beaucoup de pr\u00e9cautions.&#8221;<\/p>\n<p>L&#8217;analyse de ThreatFabric a r\u00e9v\u00e9l\u00e9 que la version macOS est active dans la nature depuis au moins janvier 2024, mais limit\u00e9e \u00e0 une vingtaine d&#8217;appareils, dont une majorit\u00e9 seraient des appareils de test.<\/p>\n<p>La cha\u00eene d&#8217;attaque commence par l&#8217;exploitation de CVE-2018-4233, une faille Safari WebKit, via des pages HTML malveillantes pour d\u00e9clencher l&#8217;ex\u00e9cution de code, conduisant \u00e0 la livraison d&#8217;un binaire Mach-O 64 bits se faisant passer pour un fichier image PNG.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718087692_388_La-variante-macOS-de-LightSpy-Spyware-trouvee-avec-des-capacites.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718087692_388_La-variante-macOS-de-LightSpy-Spyware-trouvee-avec-des-capacites.png\" alt=\"macOS de LightSpy Spyware\" border=\"0\" data-original-height=\"594\" data-original-width=\"1412\" title=\"macOS de LightSpy Spyware\"\/><\/a><\/div>\n<p>Le binaire est principalement con\u00e7u pour extraire et lancer un script shell qui, \u00e0 son tour, r\u00e9cup\u00e8re trois charges utiles suppl\u00e9mentaires : un exploit d&#8217;\u00e9l\u00e9vation de privil\u00e8ges, un utilitaire de chiffrement\/d\u00e9chiffrement et une archive ZIP.<\/p>\n<p>Le script extrait ensuite le contenu de l&#8217;archive ZIP &#8211; update et update.plist &#8211; et leur attribue les privil\u00e8ges root.  La liste des propri\u00e9t\u00e9s d&#8217;information (<a rel=\"nofollow noopener\" href=\"https:\/\/developer.apple.com\/library\/archive\/documentation\/General\/Reference\/InfoPlistKeyReference\/Articles\/AboutInformationPropertyListFiles.html\" target=\"_blank\">liste de plis<\/a>) est utilis\u00e9 pour configurer la persistance de l&#8217;autre fichier de telle sorte qu&#8217;il soit lanc\u00e9 \u00e0 chaque fois apr\u00e8s un red\u00e9marrage du syst\u00e8me.<\/p>\n<p>Le fichier \u00ab update \u00bb (alias macircloader) fait office de chargeur pour le composant LightSpy Core, permettant \u00e0 ce dernier d&#8217;\u00e9tablir le contact avec un serveur de commande et de contr\u00f4le (C2) et de r\u00e9cup\u00e9rer des commandes ainsi que de t\u00e9l\u00e9charger des plugins.<\/p>\n<p>La version macOS prend en charge 10 plugins diff\u00e9rents pour capturer l&#8217;audio du microphone, prendre des photos, enregistrer l&#8217;activit\u00e9 de l&#8217;\u00e9cran, r\u00e9colter et supprimer des fichiers, ex\u00e9cuter des commandes shell, r\u00e9cup\u00e9rer la liste des applications install\u00e9es et des processus en cours d&#8217;ex\u00e9cution et extraire des donn\u00e9es des navigateurs Web ( Safari et Google Chrome) et le trousseau iCloud.<\/p>\n<p>Deux autres plugins permettent en outre de capturer des informations sur tous les autres appareils connect\u00e9s au m\u00eame r\u00e9seau que la victime, la liste des r\u00e9seaux Wi-Fi auxquels l&#8217;appareil s&#8217;est connect\u00e9 et des d\u00e9tails sur les r\u00e9seaux Wi-Fi \u00e0 proximit\u00e9.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718087693_13_La-variante-macOS-de-LightSpy-Spyware-trouvee-avec-des-capacites.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718087693_13_La-variante-macOS-de-LightSpy-Spyware-trouvee-avec-des-capacites.png\" alt=\"macOS de LightSpy Spyware\" border=\"0\" data-original-height=\"729\" data-original-width=\"1600\" title=\"macOS de LightSpy Spyware\"\/><\/a><\/div>\n<p>&#8220;Le Core sert de r\u00e9partiteur de commandes et des plugins suppl\u00e9mentaires \u00e9tendent la fonctionnalit\u00e9&#8221;, a not\u00e9 ThreatFabric.  &#8220;Le Core et les plugins pourraient \u00eatre mis \u00e0 jour dynamiquement par une commande de C2.&#8221;<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir trouv\u00e9 une mauvaise configuration permettant d&#8217;acc\u00e9der au panneau C2, y compris \u00e0 une plateforme de contr\u00f4le \u00e0 distance, qui contient des informations sur les victimes et les donn\u00e9es associ\u00e9es.<\/p>\n<p>\u00ab Quelle que soit la plate-forme cibl\u00e9e, le groupe d&#8217;acteurs mena\u00e7ants s&#8217;est concentr\u00e9 sur l&#8217;interception des communications des victimes, telles que les conversations de messagerie et les enregistrements vocaux \u00bb, a indiqu\u00e9 la soci\u00e9t\u00e9.  &#8220;Pour macOS, un plugin sp\u00e9cialis\u00e9 a \u00e9t\u00e9 con\u00e7u pour la d\u00e9couverte du r\u00e9seau, visant \u00e0 identifier les appareils \u00e0 proximit\u00e9 de la victime.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Ce d\u00e9veloppement intervient alors que les appareils Android ont \u00e9t\u00e9 cibl\u00e9s par des chevaux de Troie bancaires connus tels que BankBot et SpyNote dans le cadre d&#8217;attaques visant les utilisateurs d&#8217;applications bancaires mobiles en <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/android-bankbot-impersonates-uzbekistan-banks\" target=\"_blank\">Ouzb\u00e9kistan<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/android-spyware-targets-brazilian-mobile-users-in-nubank-masquerade\" target=\"_blank\">Br\u00e9sil<\/a>ainsi que par <a rel=\"nofollow noopener\" href=\"https:\/\/www.broadcom.com\/support\/security-center\/protection-bulletin\/mexican-telecom-continuously-impersonated-by-spynote-actor\" target=\"_blank\">usurper l&#8217;identit\u00e9 d&#8217;un fournisseur de services de t\u00e9l\u00e9communications mexicain<\/a> pour infecter les utilisateurs d\u2019Am\u00e9rique latine et des Cara\u00efbes.<\/p>\n<p>Il s&#8217;agit \u00e9galement d&#8217;un rapport de <a rel=\"nofollow noopener\" href=\"https:\/\/www.accessnow.org\/publication\/civil-society-in-exile-pegasus\/\" target=\"_blank\">Acc\u00e9dez maintenant<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/citizenlab.ca\/2024\/05\/pegasus-russian-belarusian-speaking-opposition-media-europe\/\" target=\"_blank\">le laboratoire citoyen<\/a> a d\u00e9couvert des preuves d&#8217;attaques du logiciel espion Pegasus ciblant sept militants de l&#8217;opposition et des m\u00e9dias ind\u00e9pendants parlant russe et bi\u00e9lorusse en Lettonie, en Lituanie et en Pologne.<\/p>\n<p>&#8220;L&#8217;utilisation du logiciel espion Pegasus pour cibler des journalistes et des militants russophones et bi\u00e9lorusses remonte au moins jusqu&#8217;en 2020, avec d&#8217;autres attaques apr\u00e8s l&#8217;invasion \u00e0 grande \u00e9chelle de l&#8217;Ukraine par la Russie en f\u00e9vrier 2022&#8221;, a d\u00e9clar\u00e9 Access Now, ajoutant &#8220;un seul logiciel espion Pegasus&#8221;. L&#8217;op\u00e9rateur pourrait \u00eatre \u00e0 l&#8217;origine du ciblage d&#8217;au moins trois des victimes, voire des cinq.&#8221;<\/p>\n<p>Le fabricant de Pegasus NSO Group, dans un <a rel=\"nofollow noopener\" href=\"https:\/\/meduza.io\/feature\/2024\/05\/30\/davayte-ka-poymem-ne-shpiony-li-oni\" target=\"_blank\">d\u00e9claration<\/a> partag\u00e9 avec Meduza, a d\u00e9clar\u00e9 qu&#8217;il ne pouvait pas divulguer d&#8217;informations sur des clients sp\u00e9cifiques, mais a not\u00e9 qu&#8217;il ne vendait ses outils qu&#8217;\u00e0 des pays alli\u00e9s avec Isra\u00ebl et les \u00c9tats-Unis. Il a en outre d\u00e9clar\u00e9 qu&#8217;il ouvrirait une enqu\u00eate \u00e0 la suite de laquelle il pourrait suspendre ou mettre fin au service client.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/lightspy-spywares-macos-variant-found.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des chercheurs en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 que le logiciel espion LightSpy r\u00e9cemment identifi\u00e9 comme ciblant les utilisateurs Apple iOS est en fait une variante macOS de l&#8217;implant jusqu&#8217;alors non document\u00e9e. Les conclusions proviennent des deux Laboratoires Chasseresse et Tissu de menacequi a analys\u00e9 s\u00e9par\u00e9ment les artefacts associ\u00e9s au cadre de malware multiplateforme qui poss\u00e8de probablement [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1194120,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,53595,84,24352,4168,4165,4161,200267,133,4159,4171,207551,200271,34503,200268,200269,200270,128318,4172,4169,90970,3492,10932,25900,4166,4164],"class_list":["post-1194119","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-avancees","tag-avec","tag-capacites","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-des","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lightspy","tag-logiciel-malveillant-rancongiciel","tag-macos","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-spyware","tag-surveillance","tag-trouvee","tag-variante","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194119","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1194119"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1194119\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1194120"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1194119"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1194119"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1194119"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}