黑客升級(jí) LightSpy 監(jiān)控框架，開始針對(duì)蘋果 Mac 設(shè)備搜刮數(shù)據(jù)

IT之家 5 月 31 日消息，網(wǎng)絡(luò)安全公司 ThreatFabric 于 5 月 29 日發(fā)布報(bào)告，發(fā)現(xiàn)了 macOS 版 LightSpy 監(jiān)控框架，表明幕后開發(fā)者已著手?jǐn)U大攻擊范圍，搜刮蘋果 Mac 設(shè)備上的相關(guān)數(shù)據(jù)。

LightSpy 監(jiān)控框架此前僅限于蘋果 iOS 和谷歌安卓系統(tǒng)，是一款模塊化的監(jiān)控框架，用于竊取設(shè)備中的各種數(shù)據(jù)，包括文件、截圖、位置數(shù)據(jù)（包括樓宇層數(shù)）、微信通話時(shí)的語(yǔ)音記錄、微信支付的支付信息，以及 Telegram 和 QQ 的其它數(shù)據(jù)。

ThreatFabric 報(bào)告稱至少在今年 1 月，發(fā)現(xiàn)了一例 macOS 植入攻擊情況，表明已經(jīng)有黑客利用該框架向蘋果 Mac 設(shè)備發(fā)起攻擊。

報(bào)告稱 LightSpy 監(jiān)控框架主要利用追蹤編號(hào)為 CVE-2018-4233 和 CVE-2018-4404 的 WebKit 漏洞，在 Safari 瀏覽器中觸發(fā)代碼執(zhí)行，主要針對(duì) macOS 10.13.3 及更早版本。

IT之家簡(jiǎn)單介紹下該框架利用步驟如下：

第一階段，一個(gè)偽裝成 PNG 圖像文件（"20004312341.png"）的 64 位 MachO 二進(jìn)制文件被傳送到設(shè)備上，解密并執(zhí)行嵌入式腳本，獲取第二階段的內(nèi)容。

第二階段有效載荷會(huì)下載一個(gè)權(quán)限升級(jí)漏洞（"ssudo"）、一個(gè)加密 / 解密實(shí)用程序（"dsds"）和一個(gè) ZIP 壓縮包（"mac.zip"），其中包含兩個(gè)可執(zhí)行文件（"update"和"update.plist"）。

最終，shell 腳本會(huì)對(duì)這些文件進(jìn)行解密和解包，獲得被入侵設(shè)備的 root 訪問權(quán)限，并通過配置 "更新" 二進(jìn)制文件在啟動(dòng)時(shí)運(yùn)行，在系統(tǒng)中建立持久性。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。