5 月 31 日消息,网络安全公司ThreatFabric于5月29日发布的报告揭示了macOS版LightSpy监控框架的存在,这确实是一个令人担忧的消息。LightSpy监控框架的出现意味着幕后开发者正在扩大他们的攻击范围,并将目标对准了苹果Mac设备,意图搜刮用户的相关数据。
LightSpy 监控框架此前仅限于苹果 iOS 和谷歌安卓系统,是一款模块化的监控框架,用于窃取设备中的各种数据,包括文件、截图、位置数据(包括楼宇层数)、微信通话时的语音记录、微信支付的支付信息,以及 Telegram 和 QQ 的其它数据。
ThreatFabric 报告称至少在今年 1 月,发现了一例 macOS 植入攻击情况,表明已经有黑客利用该框架向苹果 Mac 设备发起攻击。
报告称 LightSpy 监控框架主要利用追踪编号为 CVE-2018-4233 和 CVE-2018-4404 的 WebKit 漏洞,在 Safari 浏览器中触发代码执行,主要针对 macOS 10.13.3 及更早版本。
黑客升级 LightSpy 监控框架,开始针对苹果 Mac 设备搜刮数据
简单介绍下该框架利用步骤如下:
第一阶段,一个伪装成 PNG 图像文件("20004312341.png")的 64 位 MachO 二进制文件被传送到设备上,解密并执行嵌入式脚本,获取第二阶段的内容。
第二阶段有效载荷会下载一个权限升级漏洞("ssudo")、一个加密 / 解密实用程序("dsds")和一个 ZIP 压缩包("mac.zip"),其中包含两个可执行文件("update"和"update.plist")。
最终,shell 脚本会对这些文件进行解密和解包,获得被入侵设备的 root 访问权限,并通过配置 "更新" 二进制文件在启动时运行,在系统中建立持久性。
