СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
30.10.2024
#Dev#ИБ#Инфра

Пользователей iOS предупредили о распространении новой опасной шпионской программы LightSpy

Пользователей iOS предупредили о распространении новой опасной шпионской программы LightSpy

Изображение: Penfer (unsplash)

Неизвестные хакеры распространяют в интернете новую версию шпионского программного обеспечения LightSpy, предназначенного для заражения устройств, работающих на операционной системе iOS. Эксперты отмечают, что новая версия этого вредоноса имеет расширенный функционал в сфере нарушения безопасности и стабильности работы пользовательских устройств.

Профильная компания по информационной безопасности ThreatFabric, обнаружившая вредоносное ПО, опубликовала отчёт о LightSpy для macOS в мае 2024 года. В ходе расследования аналитики обнаружили, что для управления версиями LightSpy для macOS и iOS использовался один и тот же сервер.

Эксперты ThreatFabric провели новый, подробный анализ шпионского ПО, нацеленного на iOS, и выявили заметные обновления по сравнению с версией 2020 года. Аналитики обнаружили, что последняя версия LightSpy, обозначенная как 7.9.0, более сложная и адаптивная: она содержит 28 плагинов по сравнению с 12, которые наблюдались в предыдущей версии. Семь из этих плагинов специально разработаны для вмешательства в функциональность устройства, с возможностями, которые включают заморозку устройства и предотвращение его перезагрузки.

Шпионское ПО получает первоначальный доступ, эксплуатируя известные уязвимости Safari, и повышает привилегии, используя методы джейлбрейка, что позволяет ему получать доступ к основным функциям и данным устройства.

Аналитики ThreatFabric выявили пять активных командно-контрольных (C2) серверов, связанных с версией LightSpy для iOS. Для поддержки этих вредоносных действий они использовали методы разведки с открытым исходным кодом для отслеживания самоподписанных сертификатов на этих серверах, каждый из которых был настроен на управление заражёнными устройствами и хранение извлечённых данных.

Эксперты также обнаружили, что на одном из серверов, по-видимому, размещалась панель администратора, что намекает на то, что данная инфраструктура может также использоваться в демонстрационных целях, потенциально демонстрируя возможности LightSpy сторонним лицам.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: