BlackBerry, yeni bir iOS LightSpy kötü amaçlı yazılımını bildirdi ancak Huntress araştırmacıları bunun, Rosetta 2 özellikli cihazlara sahip Intel veya Apple Silicon’u hedef alan bir macOS çeşidi olduğunu buldu.
Apple’ın son casus yazılım uyarısında muhtemelen Pegasus casus yazılımına atıfta bulunulması ve bu keşifte iOS sürümüne dair hiçbir kanıt olmaması nedeniyle bu durum medyada kafa karışıklığına neden oldu.
Araştırmacılar ayrıca bir Android sürümü (WyrmSpy) belirlediler ancak bu makaledeki macOS sürümüne odaklandılar ve daha fazla araştırma için algılama kuralları sağladılar.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
LightSpy Kötü Amaçlı Yazılım Saldırısı
Analiz, LightSpy örneğinin yalnızca MacOS’u hedeflediğini, çünkü ikili dosyaların iPhone’ların ARM mimarisiyle uyumlu olmayan x86_64 mimarisi için derlendiğini ortaya koyuyor. Her iki platformda da bunu onaylamak için “file” komutu kullanılabilir.
İlginç bir şekilde, implant yapısı her iki sürümde de tutarlı kalıyor ve temel kötü amaçlı işlevleri içeren sonraki dinamik kitaplıkları (dylib’ler) yüklemek için bir damlalık kullanıyor.
MacOS için LightSpy, iOS sürümüne kıyasla daha olgun bir ürün olduğunun işaretlerini gösteriyor.
macOS LightSpy, C2 bilgilerini depolamak için bir eklenti bildirimi kullanarak daha fazla esneklik sunar ve algılamayı azaltır.
.webp)
Her iki sürüm de geliştirici eserleri içerse de macOS LightSpy daha organize bir geliştirme süreci öneriyor.
İki olası geliştirici makinesi (“mac” ve “air”) belirlendi ve bu da LightSpy’ın arkasındaki geliştiricilerin kötü amaçlı yazılımlarını geliştirmeye devam ettiğini gösteriyor.
LightSpy macOS kötü amaçlı yazılımı, bir PID dosyası kullanarak çalışan bir örneği kontrol eden ve ardından sunucu konumları ve şifreleme anahtarları da dahil olmak üzere yapılandırmasını ikili dosyanın kendisinden alan bir damlalıkla başlar.
.webp)
Eklentileri indirmeden önce damlalık, ayrıntıları ve şifrelenmiş karmaları içeren bir bildirim dosyası getirir.
Çekirdek implantı indirdikten sonra, bütünlüğünü sunucu tarafındaki bir kayda göre doğrular.
İndirilen eklentiler ve çekirdek, şifre çözme için bir döner anahtarla XOR ile şifrelenir. Analistler bu şifreleme yöntemini tersine çevirerek indirilen eklentilerin işlevselliğini inceleyebilir.
İmplant sürecinin 2. aşaması, eklenti yükleme ve kullanımını yönetir; bu aşamada implant, DeviceInformation sınıfını kullanarak cihazı ayrıntılar için sorgular ve standart cihaz bilgilerini toplar.
.webp)
Huntrees’e göre bu sınıfın macOS sürümü, IMEI ve IMSI numaraları gibi telefona özgü verileri hariç tutuyor, getScreenSizeInches gibi görevler farklı davranıyor ve iOS sürümü cihaza özgü boyutları döndürürken, macOS sürümü genel bir değer döndürüyor.
.webp)
Bu farklılıklara rağmen, C2 sunucusuyla iletişim, açık kaynaklı SocketRocket kütüphanesini kullanarak WebSockets üzerinden devam ediyor; kalp atışı, komut alışverişi ve durum güncellemeleri gibi işlevler korunuyor.
Analiz edilen iOS implantı, çeşitli kötü amaçlı görevleri gerçekleştirmek için her biri benzersiz bir kimliğe sahip 10 ek eklenti indiriyor; bunlar arasında ses yakalamak için AudioRecorder, web tarayıcılarıyla potansiyel etkileşim için Tarayıcı ve fotoğraf çekmek için CameraShot yer alıyor.
Ayrıca, muhtemelen temel sistem bilgileri toplama, yazılım bilgileri toplama, konum verileri alma gibi işlevlere karşılık gelen ve potansiyel olarak WeChat, QQ ve Telegram gibi belirli iOS uygulamalarını hedefleyen, karışık adlara sahip (“aaa” ile belirtilen) eklentiler de vardır.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo