Programari maliciós Geacon Mac

Segons els investigadors de ciberseguretat, Geacon Malware és una implementació de la balisa Cobalt Strike, construïda amb el llenguatge de programació Go. L'amenaça s'ha convertit en una potent eina amenaçadora per orientar dispositius macOS. Si bé Geacon i Cobalt Strike es van dissenyar originalment com a utilitats legítimes utilitzades per les organitzacions per provar la seguretat de la seva xarxa mitjançant atacs simulats, els actors malvats els han explotat cada cop més per a diverses activitats nefastes.

Durant anys, els actors de les amenaces han aprofitat Cobalt Strike per comprometre els sistemes Windows, portant la indústria de la ciberseguretat a combatre aquesta amenaça persistent contínuament. Tanmateix, el recent augment de l'ús de Geacon posa de manifest l'abast creixent dels atacs dirigits a dispositius macOS. Això significa la necessitat de millorar la vigilància i les mesures proactives per contrarestar les tàctiques en evolució emprades pels actors de les amenaces que utilitzen aquestes eines. Els detalls sobre Geacon Malware i les seves capacitats nocives es van publicar en un informe dels investigadors que han estat supervisant l'activitat de l'amenaça.

Dues variants del programari maliciós Geacon observades a la natura

El primer fitxer associat a Geacon és un applet d'AppleScript anomenat "Xu Yiqing's Resume_20230320.app". El seu propòsit és verificar que realment s'està executant en un sistema macOS. Un cop s'ha confirmat, el fitxer procedeix a recuperar una càrrega útil no signada coneguda com "Geacon Plus" del servidor de comandament i control (C2) dels atacants, que té una adreça IP originària de la Xina.

L'adreça C2 específica (47.92.123.17) s'ha relacionat prèviament amb atacs de Cobalt Strike dirigits a màquines Windows. Aquesta associació suggereix una possible connexió o similitud entre la infraestructura de l'atac observat i les instàncies anteriors d'activitat de Cobalt Strike.

Abans d'iniciar la seva "activitat de balisament", la càrrega útil utilitza una tàctica enganyosa per enganyar les víctimes mostrant un fitxer PDF seductor. El document que es mostra es fa passar per un currículum que pertany a una persona anomenada Xy Yiqing, amb l'objectiu de desviar l'atenció de la víctima de les accions amenaçadores que el programari maliciós està realitzant en segon pla.

Aquesta càrrega útil específica de Geacon té una sèrie de capacitats, com ara suport de comunicacions de xarxa, realització de funcions de xifratge i desxifrat de dades, permetre la descàrrega de càrregues útils addicionals i facilitar l'exfiltració de dades del sistema compromès.

El programari maliciós Geacon s'amaga a l'aplicació troiiana

La segona càrrega útil de Geacon Malware es desplega mitjançant SecureLink.app i SecureLink_Client, versions modificades de l'aplicació SecureLink legítima que s'utilitza per al suport remot segur. Tanmateix, aquesta versió troianitzada inclou una còpia del programari maliciós "Geacon Pro". Aquesta càrrega útil en particular s'adreça específicament als sistemes Mac basats en Intel que executen OS X 10.9 (Mavericks) o versions posteriors.

En iniciar l'aplicació, sol·licita diversos permisos, inclòs l'accés a la càmera, el micròfon, els contactes, les fotos, els recordatoris i fins i tot els privilegis d'administrador de l'ordinador. Aquests permisos solen estar protegits pel marc de privadesa de transparència, consentiment i control (TCC) d'Apple i atorgar-los comporta riscos importants.

No obstant això, malgrat l'alt nivell de risc associat a aquests permisos, no són tan inusuals per al tipus d'aplicació que el Geacon Malware està dissimulant, alleujant les sospites de l'usuari i enganyant-los perquè atorguin els permisos sol·licitats. Segons la informació disponible, aquesta variant de Geacon Malware es comunica amb un servidor C2 situat al Japó, amb l'adreça IP 13.230.229.15.

En els últims anys, hi ha hagut un augment notable dels atacs de programari maliciós dirigits a dispositius Mac. Aquest augment es pot atribuir a la creixent popularitat dels ordinadors Mac i a la idea errònia que són immunes al programari maliciós. Els ciberdelinqüents han reconegut el valor potencial d'orientar-se als usuaris de Mac, la qual cosa ha donat lloc al desenvolupament i desplegament de programari maliciós més sofisticat i específic dissenyat específicament per als sistemes macOS. Naturalment, això requereix una major vigilància dels usuaris de Mac i la implementació de mesures de seguretat suficients per protegir els seus dispositius de les infeccions de programari maliciós.