Λογισμικό κατασκοπείας μπορεί πλέον να «μολύνει» τα iPhone και τα Mac – Τι είναι το LightSpy και πώς να προστατευτείτε

Αφού χρησιμοποιήθηκε για να στοχεύει iPhone και Android συσκευές, το κατασκοπευτικό

λογισμικό (spyware) LightSpy είναι τώρα ικανό να «μολύνει» τα καλύτερα MacBooks της Apple μετά την κυκλοφορία μιας ενημερωμένης έκδοσης του πλαισίου παρακολούθησης.

Όπως αναφέρει το BleepingComputer, το LightSpy είναι σπονδυλωτό spyware που μπορεί να κλέψει όλα τα είδη δεδομένων από τα θύματά του, συμπεριλαμβανομένων των αρχείων τους, των στιγμιότυπων οθόνης, των δεδομένων τοποθεσίας και πολλά άλλα. Μέχρι πρόσφατα, χρησιμοποιούνταν μόνο για τη στόχευση των καλύτερων τηλεφώνων και άλλων κινητών συσκευών.

 Τώρα όμως, σύμφωνα με μια νέα έκθεση από το ThreatFabric, μια έκδοση του LightSpy για macOS κάνει το γύρο του διαδικτύου τουλάχιστον από τις αρχές του τρέχοντος έτους. Ευτυχώς, βρίσκεται ακόμα σε φάση δοκιμών.

Ακολουθούν όλα όσα πρέπει να γνωρίζετε για το LightSpy μαζί με μερικές συμβουλές για το πώς μπορείτε να παραμείνετε ασφαλείς από το spyware γενικά.

Χρήση παλαιών ελαττωμάτων για επίθεση σε Mac

Εκμεταλλευόμενοι μια λανθασμένη ρύθμιση στον πίνακα ελέγχου του LightSpy, οι ερευνητές της ThreatFabric κατάφεραν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο περιβάλλον εργασίας του, γεγονός που τους επέτρεψε να μάθουν περισσότερα για τον τρόπο λειτουργίας του spyware, την υποδομή του και τις συσκευές που έχει μολύνει μέχρι στιγμής.

Προκειμένου να παρακολουθούν τους Mac, οι χάκερς πίσω από το spyware χρησιμοποιούν παλαιότερα κενά ασφαλείας στο WebKit (που εντοπίζονται ως CVE-2018-4233) και στο Safari (που εντοπίζονται ως CVE-2018-4404) για να στοχεύουν την έκδοση 10.13.3 του macOS και παλαιότερες εκδόσεις.

Αν και λίγο τεχνικό, οι χάκερς χρησιμοποιούν ένα 64-bit MachO binary μεταμφιεσμένο ως αρχείο εικόνας PNG για να εκτελέσουν εντολές που στη συνέχεια κατεβάζουν ένα δεύτερο στάδιο ωφέλιμου φορτίου το οποίο περιέχει περισσότερα exploits και εργαλεία που τους βοηθούν να αποκτήσουν πρόσβαση root και να εδραιωθούν σε ευάλωτα Mac.

Από εκεί, κατεβάζουν και εκτελούν το LightSpy Core στο μολυσμένο μηχάνημα, το οποίο χρησιμεύει ως κεντρικό σύστημα διαχείρισης πρόσθετων για το πλαίσιο spyware. Επιτρέπει επίσης την επικοινωνία μεταξύ του spyware και ενός διακομιστή εντολών και ελέγχου (C&C) που ελέγχεται από χάκερ.

πηγή: unsplash.com / Dmitry Chernyshov

Εξαγωγή δεδομένων με χρήση plugins

Σε αντίθεση με άλλα στελέχη κακόβουλου λογισμικού και spyware που πρέπει να ανακατασκευαστούν πλήρως για να στοχεύσουν νέες συσκευές, το LightSpy χρησιμοποιεί plugins. Με αυτόν τον τρόπο μπορούν εύκολα να δημιουργηθούν και να προστεθούν νέα plugins στο spyware για την εκτέλεση συγκεκριμένων ενεργειών σε συσκευές που έχουν παραβιαστεί.

Ενώ το LightSpy χρησιμοποιεί 14 plugins στο Android και 16 plugins στο iPhone, η νέα έκδοση macOS χρησιμοποιεί μόνο δέκα.

Δείτε ποια είναι αυτά και τι μπορούν να κάνουν:

• Soundrecord – Ένα plugin ηχογράφησης που χρησιμοποιείται για τη σύλληψη ήχου από το μικρόφωνο ενός Mac
• Browser – Ένα plugin εξαγωγής δεδομένων που χρησιμοποιείται για την κλοπή δεδομένων περιήγησης από το Chrome, το Safari και άλλα δημοφιλή προγράμματα περιήγησης
• Cameramodule – Ένα plugin λήψης φωτογραφικών μηχανών που επιτρέπει στο LightSpy να τραβάει φωτογραφίες χρησιμοποιώντας την κάμερα ενός Mac
• FileManage – Ένα plugin εξαγωγής αρχείων που χρησιμοποιείται για την κλοπή αρχείων από τον ίδιο τον Mac και από πολλές δημοφιλείς εφαρμογές ανταλλαγής μηνυμάτων, όπως το Telegram, το WeChat και το QQ Messenger
• Keychain – Ένα plugin διείσδυσης που χρησιμοποιείται για την κλοπή ευαίσθητων δεδομένων που είναι αποθηκευμένα στο Keychain ενός Mac
• LanDevices – Ένα plugin exfiltration που χρησιμοποιείται για τον εντοπισμό και τη συλλογή πληροφοριών σχετικά με συσκευές σε οποιοδήποτε τοπικό δίκτυο στο οποίο είναι συνδεδεμένος ένας μολυσμένος Mac.
• Softlist – Ένα plugin διείσδυσης λογισμικού που απαριθμεί όλες τις εγκατεστημένες εφαρμογές και όλες τις εκτελούμενες διεργασίες σε έναν Mac
• ScreenRecorder – Ένα plugin για την εγγραφή οθόνης που μπορεί να καταγράψει οποιοδήποτε περιεχόμενο στην οθόνη ενός Mac
• ShellCommand – Ένα plugin απομακρυσμένου κελύφους που χρησιμοποιείται για την εκτέλεση εντολών κελύφους σε ένα μολυσμένο Mac
• Wifi – Ένα plugin διείσδυσης που συλλέγει δεδομένα σε δίκτυα Wi-Fi στα οποία είναι συνδεδεμένος ένας Mac

Αυτά είναι όλα τα plugins  που χρησιμοποιούνται σήμερα στην έκδοση Mac του LightSpy, αλλά θα μπορούσαν εύκολα να προστεθούν και άλλα αργότερα. Επίσης, κατά τη διάρκεια της έρευνάς της, η ThreatFabric βρήκε αναφορές σε εκδόσεις του spyware για Windows, Linux και Wi-Fi routers, αλλά δεν μπόρεσε να προσδιορίσει πώς ή αν χρησιμοποιούνται επί του παρόντος σε επιθέσεις.

Πώς να μείνετε ασφαλείς από spyware

Το λογισμικό κατασκοπείας (Spyware) παραμένει μια επικίνδυνη απειλή για την οποία πρέπει να είστε σε επιφυλακή, αλλά σε αντίθεση με άλλα στελέχη κακόβουλου λογισμικού, οι χάκερ το χρησιμοποιούν συνήθως μόνο όταν κυνηγούν στόχους υψηλού προφίλ, όπως διευθύνοντες συμβούλους, πολιτικούς και άλλους κυβερνητικούς αξιωματούχους.

Παρόλα αυτά, για να παραμείνετε ασφαλείς από το λογισμικό κατασκοπείας, το πρώτο και πιο σημαντικό πράγμα που μπορείτε να κάνετε είναι να διατηρείτε τις συσκευές σας ενημερωμένες και να τρέχουν το πιο πρόσφατο λογισμικό. Αυτό οφείλεται στο γεγονός ότι η Apple επιδιορθώνει συχνά σφάλματα μηδενικής ημέρας (zero-day) σε iPhone και Mac, τα οποία στη συνέχεια εκμεταλλεύονται οι χάκερ για να εγκαταστήσουν λογισμικό κατασκοπείας σε ευάλωτες συσκευές.

Για παράδειγμα, σε αυτή την εκστρατεία LightSpy που στοχεύει σε Mac, οι χάκερ που βρίσκονται πίσω από αυτήν χρησιμοποιούν δύο ελαττώματα από το 2018, τα οποία έχουν διορθωθεί εδώ και χρόνια. Οι εγκληματίες του κυβερνοχώρου λατρεύουν να κυνηγούν τους χρήστες που δεν έχουν ενημερώσει ακόμα τις συσκευές τους, οπότε μην τους διευκολύνετε τα πράγματα με το να μην ενημερώσετε εγκαίρως τις συσκευές σας.

Επίσης θα πρέπει να εξετάσετε το ενδεχόμενο χρήσης του καλύτερου λογισμικού προστασίας από ιούς Mac για να διατηρήσετε τον υπολογιστή σας Apple ασφαλή από spyware και άλλους ιούς. Το macOS διαθέτει τον δικό του ενσωματωμένο σαρωτή κακόβουλου λογισμικού με τη μορφή του XProtect, αλλά το πληρωμένο λογισμικό προστασίας από ιούς συχνά συνοδεύεται από χρήσιμα πρόσθετα, όπως ένα VPN ή έναν διαχειριστή κωδικών πρόσβασης, που σας βοηθούν να είστε ακόμα πιο ασφαλείς στο διαδίκτυο.

Σοβαρά ότι αυτή είναι η τελευταία φορά που θα ακούσουμε για το spyware LightSpy και γι’ αυτό πρέπει να είστε ιδιαίτερα προσεκτικοί όταν ανοίγετε συνημμένα αρχεία, κάνετε κλικ σε συνδέσμους σε μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα ή κατεβάζετε αρχεία από το διαδίκτυο. Με καλή «υγιεινή στον κυβερνοχώρο» και ένα antivirus, θα πρέπει να είστε ασφαλείς από τις περισσότερες απειλές, ειδικά αν αφιερώσετε χρόνο για να σκεφτείτε τα πράγματα καλά αντί να αφήσετε τα συναισθήματά σας να σας κυριεύσουν.