Phần mềm gián điệp LightSpy mới nhắm vào iPhone với các chiến thuật giám sát gia tăng
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản cải tiến của phần mềm gián điệp Apple iOS có tên là LightSpy, không chỉ mở rộng chức năng mà còn tích hợp các khả năng phá hoại để ngăn thiết bị bị xâm phạm khởi động.
"Mặc dù phương thức phân phối phần mềm cấy ghép iOS gần giống với phiên bản macOS, nhưng các giai đoạn sau khai thác và leo thang đặc quyền lại khác biệt đáng kể do sự khác biệt về nền tảng", ThreatFabric cho biết trong một phân tích được công bố vào tuần này.
LightSpy, lần đầu tiên được ghi nhận vào năm 2020 là nhắm mục tiêu vào người dùng ở Hồng Kông, là một phần mềm cấy ghép mô-đun sử dụng kiến trúc dựa trên plugin để tăng cường khả năng của nó và cho phép nó thu thập nhiều thông tin nhạy cảm từ thiết bị bị nhiễm.
Các chuỗi tấn công phân phối phần mềm độc hại tận dụng các lỗ hổng bảo mật đã biết trong Apple iOS và macOS để kích hoạt khai thác WebKit, thả tệp có phần mở rộng ".PNG", nhưng thực chất là tệp nhị phân Mach-O có trách nhiệm truy xuất các tải trọng giai đoạn tiếp theo từ máy chủ từ xa bằng cách lợi dụng lỗ hổng hỏng bộ nhớ được theo dõi là CVE-2020-3837.
Điều này bao gồm một thành phần được gọi là FrameworkLoader, lần lượt tải xuống mô-đun Core của LightSpy và các plugin hỗn hợp của nó, đã tăng đáng kể từ 12 lên 28 trong phiên bản mới nhất (7.9.0).
"Sau khi Core khởi động, nó sẽ thực hiện kiểm tra kết nối Internet bằng tên miền Baidu.com, sau đó sẽ kiểm tra các đối số được truyền từ FrameworkLoader dưới dạng dữ liệu [command-and-control] và thư mục làm việc", công ty bảo mật Hà Lan cho biết.
"Sử dụng đường dẫn thư mục làm việc /var/containers/Bundle/AppleAppLit/, Core sẽ tạo các thư mục con cho nhật ký, cơ sở dữ liệu và dữ liệu đã rò rỉ".
Các plugin có thể thu thập nhiều loại dữ liệu, bao gồm thông tin mạng Wi-Fi, ảnh chụp màn hình, vị trí, iCloud Keychain, bản ghi âm, ảnh, lịch sử trình duyệt, danh bạ, lịch sử cuộc gọi và tin nhắn SMS, cũng như thu thập thông tin từ các ứng dụng như Files, LINE, Mail Master, Telegram, Tencent QQ, WeChat và WhatsApp.
Một số plugin mới được thêm vào cũng tự hào có các tính năng phá hoại có thể xóa các tệp phương tiện, tin nhắn SMS, hồ sơ cấu hình mạng Wi-Fi, danh bạ và lịch sử trình duyệt, thậm chí đóng băng thiết bị và ngăn không cho thiết bị khởi động lại. Hơn nữa, các plugin LightSpy có thể tạo thông báo đẩy giả mạo có chứa một URL cụ thể.
Phương tiện phân phối chính xác của phần mềm gián điệp vẫn chưa rõ ràng, mặc dù người ta tin rằng nó được dàn dựng thông qua các cuộc tấn công watering hole. Cho đến nay, các chiến dịch này vẫn chưa được quy cho một tác nhân hoặc nhóm đe dọa nào đã biết.
Tuy nhiên, có một số bằng chứng cho thấy những kẻ điều hành có thể có trụ sở tại Trung Quốc do thực tế là plugin vị trí "tính toán lại tọa độ vị trí theo một hệ thống được sử dụng độc quyền tại Trung Quốc". Cần lưu ý rằng các nhà cung cấp dịch vụ bản đồ Trung Quốc tuân theo một hệ thống tọa độ có tên là GCJ-02.
"Vụ việc iOS của LightSpy nêu bật tầm quan trọng của việc cập nhật hệ thống", ThreatFabric cho biết. "Những tác nhân đe dọa đằng sau LightSpy theo dõi chặt chẽ các ấn phẩm từ các nhà nghiên cứu bảo mật, sử dụng lại các khai thác mới được tiết lộ để phân phối tải trọng và tăng đặc quyền trên các thiết bị bị ảnh hưởng
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Sự phát triển của AI trong các vụ lừa đả...
Làn sóng tấn công an ninh mạng mới: AI b...
Các sản phẩm của Kaspersky dẫn đầu về hi...
Khi tiện ích mở rộng tốt trở nên tệ hại:...
Hàng chục tiện ích mở rộng của Chrome bị...
Apple bồi thường 95 triệu USD vì Siri ng...
- Sự phát triển của AI trong các vụ lừa đảo phishing...
- Làn sóng tấn công an ninh mạng mới: AI biến các vụ...
- Các sản phẩm của Kaspersky dẫn đầu về hiệu suất tr...
- Cuối Tuần Vui Vẻ, Giá Rẻ Bất Ngờ
- Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025
- Khi tiện ích mở rộng tốt trở nên tệ hại: Những điể...