SecAtor

Исследователи Hunt.io выявили обновленную версию импланта LightSpy, которая теперь поддерживает более чем 100 команд и оснащена расширенным набором функций для извлечения информации из соцсетей, включая Facebook и Instagram.

Как ранее уже упоминалось, LightSpy - это модульное шпионское ПО, способное заражать как системы Windows, macOS, Linux с целью сбора данных.

Впервые было задокументировано в 2020 году и было нацелено на пользователей в Гонконге.

Основной функционал включает нацеливание на информацию о сети Wi-Fi, снимки экрана, геолокацию, iCloud Keychain, звукозаписи, фотографии, история браузера, контакты, историю вызовов и SMS, а также данные из различных приложений, в том числе LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.

В конце прошлого года ThreatFabric представила обновленную версию вредоносного ПО, которая поддерживала различные деструктивные функции и увеличенное с 12 до 28 число поддерживаемых плагинов.

Предыдущие отчеты также указывали на потенциальное сходство между LightSpy и вредоносным ПО для Android под названием DragonEgg, подчеркивая кроссплатформенный характер угрозы.

Последний анализ инфраструктуры C2, связанный со шпионским ПО, проведенный Hunt.io, показывает поддержку более 100 команд, охватывающих Android, iOS, Windows, macOS, маршрутизаторы и Linux.

Новый список команд смещает акцент с прямого сбора данных на более широкий оперативный контроль, включая управление передачей («传输控制») и отслеживание версий плагинов («上传插件版本详细信息»).

Новые дополнения предполагают более гибкую и адаптируемую структуру, позволяющую операторам LightSpy более эффективно управлять развертываниями на нескольких платформах.

Среди новых команд стоит отметить возможность нацеливаться на файлы баз данных приложений Facebook и Instagram для извлечения данных с устройств Android.

Но примечательно, что злоумышленники удалили плагины iOS, связанные с деструктивными действиями на хосте жертвы.

Также обнаружено 15 специфичных для Windows плагинов, предназначенных для контроля над системой и сбора данных, большинство из которых ориентированы на фиксацию нажатий клавиш, аудиозапись и взаимодействие с USB.

Исследователи заявили, что также обнаружили конечную точку ("/phone/phoneinfo") в панели администратора, которая предоставляет вошедшим в систему пользователям возможность удаленного управления зараженными мобильными устройствами.

В настоящее время неизвестно, представляют ли они собой новые разработки или ранее недокументированные старые версии.

Переход от таргетинга на приложения для обмена сообщениями к Facebook и Instagram расширяет возможности LightSpy по перехвату переписки, контактов и метаданных аккаунтов с широко используемых социальных платформ, открывая широкие возможности для дальнейшей эксплуатации.

hunt.io

LightSpy Malware Now Targets Facebook & Instagram Data

A new LightSpy server expands its attack scope, targeting Facebook and Instagram database files. Explore its evolving capabilities and infrastructure.

www.group-telegram.com/us/true_secator.com/6785

7.7K viewsFeb 27 at 11:58

Исследователи Hunt.io выявили обновленную версию импланта LightSpy, которая теперь поддерживает более чем 100 команд и оснащена расширенным набором функций для извлечения информации из соцсетей, включая Facebook и Instagram.

Как ранее уже упоминалось, LightSpy - это модульное шпионское ПО, способное заражать как системы Windows, macOS, Linux с целью сбора данных.

Впервые было задокументировано в 2020 году и было нацелено на пользователей в Гонконге.

Основной функционал включает нацеливание на информацию о сети Wi-Fi, снимки экрана, геолокацию, iCloud Keychain, звукозаписи, фотографии, история браузера, контакты, историю вызовов и SMS, а также данные из различных приложений, в том числе LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.

В конце прошлого года ThreatFabric представила обновленную версию вредоносного ПО, которая поддерживала различные деструктивные функции и увеличенное с 12 до 28 число поддерживаемых плагинов.

Предыдущие отчеты также указывали на потенциальное сходство между LightSpy и вредоносным ПО для Android под названием DragonEgg, подчеркивая кроссплатформенный характер угрозы.

Последний анализ инфраструктуры C2, связанный со шпионским ПО, проведенный Hunt.io, показывает поддержку более 100 команд, охватывающих Android, iOS, Windows, macOS, маршрутизаторы и Linux.

Новый список команд смещает акцент с прямого сбора данных на более широкий оперативный контроль, включая управление передачей («传输控制») и отслеживание версий плагинов («上传插件版本详细信息»).

Новые дополнения предполагают более гибкую и адаптируемую структуру, позволяющую операторам LightSpy более эффективно управлять развертываниями на нескольких платформах.

Среди новых команд стоит отметить возможность нацеливаться на файлы баз данных приложений Facebook и Instagram для извлечения данных с устройств Android.

Но примечательно, что злоумышленники удалили плагины iOS, связанные с деструктивными действиями на хосте жертвы.

Также обнаружено 15 специфичных для Windows плагинов, предназначенных для контроля над системой и сбора данных, большинство из которых ориентированы на фиксацию нажатий клавиш, аудиозапись и взаимодействие с USB.

Исследователи заявили, что также обнаружили конечную точку ("/phone/phoneinfo") в панели администратора, которая предоставляет вошедшим в систему пользователям возможность удаленного управления зараженными мобильными устройствами.

В настоящее время неизвестно, представляют ли они собой новые разработки или ранее недокументированные старые версии.

Переход от таргетинга на приложения для обмена сообщениями к Facebook и Instagram расширяет возможности LightSpy по перехвату переписки, контактов и метаданных аккаунтов с широко используемых социальных платформ, открывая широкие возможности для дальнейшей эксплуатации.

BY SecAtor