תוכנת זדונית של Geacon Mac

לפי חוקרי אבטחת סייבר, ה-Geacon Malware היא יישום של משואה Cobalt Strike, שנבנתה באמצעות שפת התכנות Go. האיום התגלה ככלי מאיים רב עוצמה למיקוד מכשירי macOS. בעוד ש-Geacon ו- Cobalt Strike תוכננו במקור ככלי עזר לגיטימיים המשמשים ארגונים כדי לבחון את אבטחת הרשת שלהם באמצעות התקפות מדומות, שחקנים רשעים ניצלו אותם יותר ויותר לפעילויות נבזיות שונות.

במשך שנים, שחקני איומים ניצלו את Cobalt Strike כדי לפגוע במערכות Windows, מה שהוביל את תעשיית אבטחת הסייבר להילחם באיום המתמשך הזה. עם זאת, העלייה האחרונה בשימוש ב-Geacon מדגישה את ההיקף המתרחב של התקפות המכוונות למכשירי macOS. זה מסמל את הצורך בערנות מוגברת ובצעדים יזומים כדי להתמודד עם הטקטיקות המתפתחות שמפעילים גורמי איומים הממנפים את הכלים הללו. פרטים על ה-Geacon Malware ויכולותיה המזיקות פורסמו בדו"ח של החוקרים שעקבו אחר פעילות האיום.

שתי גרסאות של תוכנת זדונית Geacon שנצפו בטבע

הקובץ הראשון המשויך ל-Geacon הוא יישומון AppleScript בשם 'Xu Yiqing's Resume_20230320.app.' מטרתו היא לוודא שהוא אכן פועל על מערכת macOS. לאחר שהדבר אושר, הקובץ ממשיך לאחזר מטען לא חתום המכונה 'Geacon Plus' משרת ה-Command-and-Control (C2) של התוקפים, בעל כתובת IP שמקורה בסין.

כתובת C2 הספציפית (47.92.123.17) הייתה מקושרת בעבר להתקפות Cobalt Strike המכוונות למכונות Windows. קשר זה מצביע על קשר פוטנציאלי או דמיון בין תשתית המתקפה שנצפתה לבין מקרים קודמים של פעילות Cobalt Strike.

לפני תחילת 'פעילות המשואות' שלו, המטען נוקט טקטיקה מטעה כדי להטעות קורבנות על ידי הצגת קובץ PDF מטעה. המסמך המוצג מתחזה לקורות חיים השייכים לאדם בשם Xy Yiqing, במטרה להסיט את תשומת הלב של הקורבן מהפעולות המאיימות שהתוכנה הזדונית מבצעת ברקע.

מטען Geacon הספציפי הזה הוא בעל מגוון של יכולות, לרבות תמיכה בתקשורת רשת, ביצוע פונקציות הצפנת נתונים ופענוח, מתן אפשרות להורדה של מטענים נוספים, והקלה על חילוץ נתונים מהמערכת שנפרצה.

התוכנה הזדונית של Geacon מסתתרת בתוך יישום טרואיני

המטען השני של Geacon Malware נפרס דרך SecureLink.app ו-SecureLink_Client, גרסאות משוונות של יישום SecureLink הלגיטימי המשמש לתמיכה מרחוק מאובטחת. עם זאת, גרסה טרויאנית זו כוללת עותק של התוכנה הזדונית 'Geacon Pro'. מטען מסוים זה מכוון במיוחד למערכות Mac מבוססות אינטל המרצות את OS X 10.9 (Mavericks) או גרסאות מאוחרות יותר.

עם הפעלת האפליקציה היא מבקשת הרשאות שונות, לרבות גישה למצלמת המחשב, מיקרופון, אנשי קשר, תמונות, תזכורות ואפילו הרשאות מנהל. הרשאות אלה מוגנות בדרך כלל על ידי מסגרת הפרטיות של שקיפות, הסכמה ובקרה (TCC) של אפל והענקתן מהווה סיכונים משמעותיים.

עם זאת, למרות רמת הסיכון הגבוהה הכרוכה בהרשאות אלו, הן אינן חריגות כל כך לסוג האפליקציה ש-Geacon Malware מתחזה לה, מקל על החשדות של המשתמש ומרמה אותו להעניק את ההרשאות המבוקשות. על פי המידע הזמין, גרסה זו של Geacon Malware מתקשרת עם שרת C2 הממוקם ביפן, עם כתובת ה-IP 13.230.229.15.

בשנים האחרונות חלה עלייה ניכרת בהתקפות תוכנות זדוניות המכוונות למכשירי Mac. ניתן לייחס את העלייה הזו לפופולריות הגוברת של מחשבי Mac ולתפיסה המוטעית שהם חסינים בפני תוכנות זדוניות. פושעי סייבר זיהו את הערך הפוטנציאלי במיקוד למשתמשי Mac, מה שמוביל לפיתוח ופריסה של תוכנות זדוניות מתוחכמות וממוקדות יותר שתוכננו במיוחד עבור מערכות macOS. באופן טבעי, זה מצריך ערנות מוגברת מצד משתמשי Mac ויישום של אמצעי אבטחה מספיקים כדי להגן על המכשירים שלהם מפני הדבקות בתוכנות זדוניות.