Geacon Mac Malware

De acordo com pesquisadores de segurança cibernética, o Geacon Malware é uma implementação do beacon Cobalt Strike, construído usando a linguagem de programação Go. A ameaça emergiu como uma poderosa ferramenta ameaçadora para atingir dispositivos macOS. Enquanto Geacon e Cobalt Strike foram originalmente projetados como utilitários legítimos usados por organizações para testar sua segurança de rede por meio de ataques simulados, agentes mal-intencionados os exploraram cada vez mais para várias atividades nefastas.

Durante anos, os agentes de ameaças aproveitaram o Cobalt Strike para comprometer os sistemas Windows, levando o setor de segurança cibernética a combater essa ameaça persistente continuamente. No entanto, o recente aumento no uso do Geacon destaca o crescente escopo de ataques direcionados a dispositivos macOS. Isso significa a necessidade de vigilância aprimorada e medidas proativas para combater as táticas em evolução empregadas pelos agentes de ameaças que utilizam essas ferramentas. Detalhes sobre o Geacon Malware e seus recursos nocivos foram divulgados em um relatório dos pesquisadores que monitoram a atividade da ameaça.

Foram Observadas Duas Variantes do Geacon Malware 

O primeiro arquivo associado ao Geacon é um applet AppleScript chamado 'Xu Yiqing's Resume_20230320.app.' Seu objetivo é verificar se ele está realmente sendo executado em um sistema macOS. Uma vez que isso foi confirmado, o arquivo prossegue para recuperar uma carga útil não assinada conhecida como 'Geacon Plus' do servidor Command-and-Control (C2) dos invasores, que possui um endereço IP originário da China.

O endereço C2 específico (47.92.123.17) foi vinculado anteriormente a ataques Cobalt Strike direcionados a máquinas Windows. Essa associação sugere uma possível conexão ou semelhança entre a infraestrutura do ataque observado e instâncias anteriores da atividade do Cobalt Strike.

Antes de iniciar sua 'atividade de sinalização', a carga útil emprega uma tática enganosa para enganar as vítimas, exibindo um arquivo PDF de isca. O documento exibido se disfarça como um currículo pertencente a um indivíduo chamado Xy Yiqing, com o objetivo de desviar a atenção da vítima das ações ameaçadoras que o malware está realizando em segundo plano.

Essa carga útil Geacon específica possui uma variedade de recursos, incluindo suporte a comunicações de rede, execução de funções de criptografia e descriptografia de dados, permitindo o download de cargas adicionais e facilitando a extração de dados do sistema comprometido.

O Geaco Malware Se Esconde Dentro do Aplicativo Trojanizado

A segunda carga útil do Geacon Malware é implantada por meio do SecureLink.app e do SecureLink_Client, versões modificadas do aplicativo SecureLink legítimo usado para suporte remoto seguro. No entanto, esta versão trojanizada inclui uma cópia do malware 'Geacon Pro'. Essa carga específica visa especificamente sistemas Mac baseados em Intel executando OS X 10.9 (Mavericks) ou versões posteriores.

Ao iniciar o aplicativo, ele solicita várias permissões, incluindo acesso à câmera do computador, microfone, contatos, fotos, lembretes e até privilégios de administrador. Essas permissões são normalmente protegidas pela estrutura de privacidade Transparência, Consentimento e Controle (TCC) da Apple e concedê-las representa riscos significativos.

No entanto, apesar do alto nível de risco associado a essas permissões, elas não são tão incomuns para o tipo de aplicativo que o Geacon Malware está disfarçado, aliviando as suspeitas do usuário e induzindo-o a conceder as permissões solicitadas. De acordo com as informações disponíveis, esta variante do Geacon Malware se comunica com um servidor C2 localizado no Japão, com o endereço de IP 13.230.229.15.

Nos últimos anos, houve um aumento perceptível nos ataques de malware direcionados a dispositivos Mac. Esse aumento pode ser atribuído à crescente popularidade dos computadores Mac e ao equívoco de que eles são imunes a malware. Os cibercriminosos reconheceram o valor potencial em atingir usuários de Mac, levando ao desenvolvimento e à implantação de malware mais sofisticado e direcionado, projetado especificamente para sistemas macOS. Naturalmente, isso exige maior vigilância dos usuários de Mac e a implementação de medidas de segurança suficientes para proteger seus dispositivos contra infecções por malware.