Vn-Z.vn Ngày 31 tháng 05 năm 2024, công ty an ninh mạng ThreatFabric đã phát hành báo cáo vào ngày 29 tháng 5, cho biết họ đã phát hiện ra mã độc LightSpy phiên bản dành cho macOS, nhóm hacker đứng sau công cụ này đã mở rộng phạm vi tấn công để thu thập dữ liệu từ các thiết bị Apple Mac.
Mã độc LightSpy trước đây chỉ giới hạn trên các hệ điều hành Apple iOS và Google Android. Đây là một khung giám sát dạng module, được sử dụng để đánh cắp nhiều loại dữ liệu từ thiết bị, bao gồm tập tin, ảnh chụp màn hình, dữ liệu vị trí (bao gồm cả số tầng của tòa nhà), ghi âm giọng nói trong các cuộc gọi trên các ứng dụng OTT, thông tin thanh toán, các dữ liệu khác từ Telegram.v.v..v
ThreatFabric từ tháng 1 năm 2024, họ đã phát hiện một số trường hợp tấn công cài cắm trên macOS, cho thấy đã có hacker sử dụng công cụ giám sát này để tấn công các thiết bị Apple Mac.
LightSpy chủ yếu khai thác các lỗ hổng WebKit có mã số CVE-2018-4233 và CVE-2018-4404, kích hoạt thực thi mã trong trình duyệt Safari, chủ yếu nhắm vào các phiên bản macOS 10.13.3 và cũ hơn.
Phương thức tấn công được hacker thực hiện như sau:
Giai đoạn đầu tiên, một tệp nhị phân MachO 64-bit được hacker ngụy trang thành tệp hình ảnh PNG ("20004312341.png") và truyền đến thiết bị, giải mã và thực thi tập lệnh nhúng để lấy nội dung giai đoạn hai.
Giai đoạn hai, tải trọng chính sẽ tải xuống một lỗ hổng nâng cao quyền hạn ("ssudo"), một tiện ích mã hóa/giải mã ("dsds") và một tệp ZIP ("mac.zip") chứa hai tệp thực thi ("update" và "update.plist").
Cuối cùng, shell script sẽ giải mã và giải nén các tệp này, lấy quyền truy cập root vào thiết bị bị xâm nhập, thiết lập tính bền vững trong hệ thống bằng cách cấu hình để tệp nhị phân "update" chạy khi khởi động.
Mã độc LightSpy trước đây chỉ giới hạn trên các hệ điều hành Apple iOS và Google Android. Đây là một khung giám sát dạng module, được sử dụng để đánh cắp nhiều loại dữ liệu từ thiết bị, bao gồm tập tin, ảnh chụp màn hình, dữ liệu vị trí (bao gồm cả số tầng của tòa nhà), ghi âm giọng nói trong các cuộc gọi trên các ứng dụng OTT, thông tin thanh toán, các dữ liệu khác từ Telegram.v.v..v
ThreatFabric từ tháng 1 năm 2024, họ đã phát hiện một số trường hợp tấn công cài cắm trên macOS, cho thấy đã có hacker sử dụng công cụ giám sát này để tấn công các thiết bị Apple Mac.
LightSpy chủ yếu khai thác các lỗ hổng WebKit có mã số CVE-2018-4233 và CVE-2018-4404, kích hoạt thực thi mã trong trình duyệt Safari, chủ yếu nhắm vào các phiên bản macOS 10.13.3 và cũ hơn.
Phương thức tấn công được hacker thực hiện như sau:
Giai đoạn đầu tiên, một tệp nhị phân MachO 64-bit được hacker ngụy trang thành tệp hình ảnh PNG ("20004312341.png") và truyền đến thiết bị, giải mã và thực thi tập lệnh nhúng để lấy nội dung giai đoạn hai.
Giai đoạn hai, tải trọng chính sẽ tải xuống một lỗ hổng nâng cao quyền hạn ("ssudo"), một tiện ích mã hóa/giải mã ("dsds") và một tệp ZIP ("mac.zip") chứa hai tệp thực thi ("update" và "update.plist").
Cuối cùng, shell script sẽ giải mã và giải nén các tệp này, lấy quyền truy cập root vào thiết bị bị xâm nhập, thiết lập tính bền vững trong hệ thống bằng cách cấu hình để tệp nhị phân "update" chạy khi khởi động.
BÀI MỚI ĐANG THẢO LUẬN