Phần mềm gián điệp LightSpy mới nhắm vào iPhone với các chiến thuật giám sát gia tăng

www.tuoitre.vn -   01/11/2024 08:00:00 51

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản cải tiến của phần mềm gián điệp Apple iOS có tên là LightSpy, không chỉ mở rộng chức năng mà còn tích hợp các khả năng phá hoại để ngăn thiết bị bị xâm phạm khởi động.

Phần mềm gián điệp LightSpy mới nhắm vào iPhone với các chiến thuật giám sát gia tăng

"Mặc dù phương thức phân phối phần mềm cấy ghép iOS gần giống với phiên bản macOS, nhưng các giai đoạn sau khai thác và leo thang đặc quyền lại khác biệt đáng kể do sự khác biệt về nền tảng", ThreatFabric cho biết trong một phân tích được công bố vào tuần này.

LightSpy, lần đầu tiên được ghi nhận vào năm 2020 là nhắm mục tiêu vào người dùng ở Hồng Kông, là một phần mềm cấy ghép mô-đun sử dụng kiến ​​trúc dựa trên plugin để tăng cường khả năng của nó và cho phép nó thu thập nhiều thông tin nhạy cảm từ thiết bị bị nhiễm.

Các chuỗi tấn công phân phối phần mềm độc hại tận dụng các lỗ hổng bảo mật đã biết trong Apple iOS và macOS để kích hoạt khai thác WebKit, thả tệp có phần mở rộng ".PNG", nhưng thực chất là tệp nhị phân Mach-O có trách nhiệm truy xuất các tải trọng giai đoạn tiếp theo từ máy chủ từ xa bằng cách lợi dụng lỗ hổng hỏng bộ nhớ được theo dõi là CVE-2020-3837.

Điều này bao gồm một thành phần được gọi là FrameworkLoader, lần lượt tải xuống mô-đun Core của LightSpy và các plugin hỗn hợp của nó, đã tăng đáng kể từ 12 lên 28 trong phiên bản mới nhất (7.9.0).

"Sau khi Core khởi động, nó sẽ thực hiện kiểm tra kết nối Internet bằng tên miền Baidu.com, sau đó sẽ kiểm tra các đối số được truyền từ FrameworkLoader dưới dạng dữ liệu [command-and-control] và thư mục làm việc", công ty bảo mật Hà Lan cho biết.

"Sử dụng đường dẫn thư mục làm việc /var/containers/Bundle/AppleAppLit/, Core sẽ tạo các thư mục con cho nhật ký, cơ sở dữ liệu và dữ liệu đã rò rỉ".

Các plugin có thể thu thập nhiều loại dữ liệu, bao gồm thông tin mạng Wi-Fi, ảnh chụp màn hình, vị trí, iCloud Keychain, bản ghi âm, ảnh, lịch sử trình duyệt, danh bạ, lịch sử cuộc gọi và tin nhắn SMS, cũng như thu thập thông tin từ các ứng dụng như Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat và WhatsApp.

Một số plugin mới được thêm vào cũng tự hào có các tính năng phá hoại có thể xóa các tệp phương tiện, tin nhắn SMS, hồ sơ cấu hình mạng Wi-Fi, danh bạ và lịch sử trình duyệt, thậm chí đóng băng thiết bị và ngăn không cho thiết bị khởi động lại. Hơn nữa, các plugin LightSpy có thể tạo thông báo đẩy giả mạo có chứa một URL cụ thể.

Phương tiện phân phối chính xác của phần mềm gián điệp vẫn chưa rõ ràng, mặc dù người ta tin rằng nó được dàn dựng thông qua các cuộc tấn công watering hole. Cho đến nay, các chiến dịch này vẫn chưa được quy cho một tác nhân hoặc nhóm đe dọa nào đã biết.

Tuy nhiên, có một số bằng chứng cho thấy những kẻ điều hành có thể có trụ sở tại Trung Quốc do thực tế là plugin vị trí "tính toán lại tọa độ vị trí theo một hệ thống được sử dụng độc quyền tại Trung Quốc". Cần lưu ý rằng các nhà cung cấp dịch vụ bản đồ Trung Quốc tuân theo một hệ thống tọa độ có tên là GCJ-02.

"Vụ việc iOS của LightSpy nêu bật tầm quan trọng của việc cập nhật hệ thống", ThreatFabric cho biết. "Những tác nhân đe dọa đằng sau LightSpy theo dõi chặt chẽ các ấn phẩm từ các nhà nghiên cứu bảo mật, sử dụng lại các khai thác mới được tiết lộ để phân phối tải trọng và tăng đặc quyền trên các thiết bị bị ảnh hưởng

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Sự phát triển của AI trong các vụ lừa đả...

17/01/2025 08:00:00 4
Sự phát triển vượt bậc của AI không chỉ tác động đến nhiều ngành công nghiệp mà còn thay đổi chiến t...

Làn sóng tấn công an ninh mạng mới: AI b...

14/01/2025 08:00:00 5
Sự phát triển vượt bậc của trí tuệ nhân tạo (AI) đã cách mạng hóa mọi khía cạnh cuộc sống, từ mua sắ...

Các sản phẩm của Kaspersky dẫn đầu về hi...

07/01/2025 08:00:00 4
Kaspersky tiếp tục thiết lập chuẩn mực mới về hiệu suất, khẳng định vị thế dẫn đầu trong lĩnh vực an...

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 151
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 131
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 385
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button