Les chercheurs en cybersécurité ont récemment mis en lumière une variante macOS du spyware LightSpy, découvert pour la première fois visant les utilisateurs iOS. Désormais analysé par Huntress Labs et ThreatFabric, ce logiciel espion sophistiqué présente de sérieuses menaces pour les systèmes macOS, avec des capacités de surveillance avancées qui pourraient également affecter d’autres plateformes telles que Android, Windows, Linux et même certains routeurs.
Découverte et analyse du spyware LightSpy sur macOS
Méthodes d’infection et implications
ThreatFabric a identifié que le groupe à l’origine de LightSpy exploitait deux failles déjà connues, CVE-2018-4233 et CVE-2018-4404, pour introduire des implants sur les systèmes macOS. Ces attaques, ciblant principalement macOS version 10, montrent une utilisation astucieuse de fragments de code potentiellement empruntés au framework Metasploit, ce qui augmente la complexité de la menace.
Capacités de surveillance étendues
Équipé d’un système basé sur des plugins, le spyware LightSpy pour macOS est capable de capturer de l’audio via le micro, de prendre des photos, d’enregistrer l’activité d’écran, mais aussi de s’attaquer à des données plus sensibles telles que les fichiers système, les commandes shell, et les informations d’applications et de processus en cours. De plus, il peut extraire des données de navigateurs web et du trousseau iCloud.
Dynamiques et implications plus larges de LightSpy
Historique et contexte géographique
Initialement signalé en 2020, LightSpy avait été associé à une campagne visant les utilisateurs d’applications bancaires mobiles en Asie du Sud. Plus récemment, une analyse de malware a montré que la version iOS avait été renouvelée, avant de découvrir cette variante macOS plus raffinée. Bien que l’échantillon ait été chargé sur VirusTotal depuis l’Inde, les chercheurs de Huntress notent qu’il ne s’agit pas nécessairement d’un indicateur d’une campagne active dans cette région.
Limitation et risques sur le terrain
Selon ThreatFabric, le spyware macOS est actif depuis janvier 2024, mais semble confiné à environ 20 appareils, majoritairement des dispositifs de test. Cependant, la nature peu étendue de cette diffusion ne doit pas sous-estimer le potentiel de dommages sérieux, d’autant plus que les tactiques, techniques et procédures (TTP) utilisées pourraient être adoptées par d’autres acteurs malveillants.
En tant que leader en solutions de cybersécurité, CyberCare offre des services avancés pour protéger contre de telles menaces, assurant une sécurité robuste contre les logiciels espions et les attaques ciblées, essentielle pour la préservation des actifs numériques en entreprise.