Geacon Mac Malware

Secondo i ricercatori di sicurezza informatica, Geacon Malware è un'implementazione del beacon Cobalt Strike, costruito utilizzando il linguaggio di programmazione Go. La minaccia è emersa come un potente strumento minaccioso per prendere di mira i dispositivi macOS. Mentre Geacon e Cobalt Strike sono stati originariamente progettati come utility legittime utilizzate dalle organizzazioni per testare la sicurezza della propria rete attraverso attacchi simulati, attori malvagi li hanno sempre più sfruttati per varie attività nefaste.

Per anni, gli attori delle minacce hanno approfittato di Cobalt Strike per compromettere i sistemi Windows, portando il settore della sicurezza informatica a combattere continuamente questa minaccia persistente. Tuttavia, il recente aumento dell'utilizzo di Geacon evidenzia l'estensione della portata degli attacchi ai dispositivi macOS. Ciò significa la necessità di una maggiore vigilanza e misure proattive per contrastare le tattiche in evoluzione impiegate dagli attori delle minacce che sfruttano questi strumenti. I dettagli sul malware Geacon e le sue capacità dannose sono stati rilasciati in un rapporto dai ricercatori che hanno monitorato l'attività della minaccia.

Due varianti del malware Geacon osservate in natura

Il primo file associato a Geacon è un'applet AppleScript denominata "Xu Yiqing's Resume_20230320.app". Il suo scopo è verificare che sia effettivamente in esecuzione su un sistema macOS. Una volta che ciò è stato confermato, il file procede a recuperare un payload non firmato noto come "Geacon Plus" dal server Command-and-Control (C2) degli aggressori, che ha un indirizzo IP proveniente dalla Cina.

L'indirizzo C2 specifico (47.92.123.17) è stato precedentemente collegato agli attacchi Cobalt Strike mirati a computer Windows. Questa associazione suggerisce una potenziale connessione o somiglianza tra l'infrastruttura dell'attacco osservato e le precedenti istanze dell'attività di Cobalt Strike.

Prima di iniziare la sua "attività di beaconing", il payload impiega una tattica ingannevole per fuorviare le vittime visualizzando un file PDF esca. Il documento visualizzato si maschera da curriculum appartenente a un individuo di nome Xy Yiqing, con l'obiettivo di distogliere l'attenzione della vittima dalle azioni minacciose che il malware sta eseguendo in background.

Questo specifico payload Geacon possiede una gamma di funzionalità, tra cui il supporto delle comunicazioni di rete, l'esecuzione di funzioni di crittografia e decrittografia dei dati, l'abilitazione del download di ulteriori payload e la facilitazione dell'esfiltrazione dei dati dal sistema compromesso.

Il malware Geacon si nasconde all'interno dell'applicazione trojan

Il secondo payload Geacon Malware viene distribuito tramite SecureLink.app e SecureLink_Client, versioni modificate dell'applicazione legittima SecureLink utilizzata per il supporto remoto sicuro. Tuttavia, questa versione trojanizzata include una copia del malware "Geacon Pro". Questo particolare payload si rivolge specificamente ai sistemi Mac basati su Intel che eseguono OS X 10.9 (Mavericks) o versioni successive.

All'avvio dell'applicazione, richiede varie autorizzazioni, incluso l'accesso alla fotocamera del computer, al microfono, ai contatti, alle foto, ai promemoria e persino ai privilegi di amministratore. Queste autorizzazioni sono in genere protette dal framework per la privacy Transparency, Consent and Control (TCC) di Apple e la loro concessione comporta rischi significativi.

Tuttavia, nonostante l'elevato livello di rischio associato a queste autorizzazioni, non sono così insolite per il tipo di applicazione mascherata da Geacon Malware, attenuando i sospetti dell'utente e inducendolo a concedere le autorizzazioni richieste. Secondo le informazioni disponibili, questa variante Geacon Malware comunica con un server C2 situato in Giappone, con l'indirizzo IP 13.230.229.15.

Negli ultimi anni, c'è stato un notevole aumento degli attacchi di malware rivolti ai dispositivi Mac. Questo aumento può essere attribuito alla crescente popolarità dei computer Mac e all'idea sbagliata che siano immuni al malware. I criminali informatici hanno riconosciuto il potenziale valore nel prendere di mira gli utenti Mac, portando allo sviluppo e alla distribuzione di malware più sofisticati e mirati specificamente progettati per i sistemi macOS. Naturalmente, ciò richiede una maggiore vigilanza da parte degli utenti Mac e l'implementazione di misure di sicurezza sufficienti per proteggere i loro dispositivi dalle infezioni da malware.