Geacon Mac Malware

Potrivit cercetătorilor în domeniul securității cibernetice, Geacon Malware este o implementare a semnalizatorului Cobalt Strike, construită folosind limbajul de programare Go. Amenințarea a apărut ca un instrument puternic de amenințare pentru vizarea dispozitivelor macOS. În timp ce Geacon și Cobalt Strike au fost concepute inițial ca utilități legitime utilizate de organizații pentru a-și testa securitatea rețelei prin atacuri simulate, actorii cu mintea diabolică le-au exploatat din ce în ce mai mult pentru diverse activități nefaste.

De ani de zile, actorii amenințărilor au profitat de Cobalt Strike pentru a compromite sistemele Windows, conducând industria securității cibernetice să combată permanent această amenințare persistentă. Cu toate acestea, creșterea recentă a utilizării Geacon evidențiază extinderea domeniului de aplicare a atacurilor care vizează dispozitivele macOS. Acest lucru semnifică necesitatea unei vigilențe sporite și a unor măsuri proactive pentru a contracara tacticile în evoluție folosite de actorii amenințărilor care folosesc aceste instrumente. Detalii despre Geacon Malware și capacitățile sale dăunătoare au fost publicate într-un raport de către cercetătorii care au monitorizat activitatea amenințării.

Două variante ale programului malware Geacon observate în sălbăticie

Primul fișier asociat cu Geacon este un applet AppleScript numit „Xu Yiqing's Resume_20230320.app”. Scopul său este de a verifica dacă rulează într-adevăr pe un sistem macOS. Odată ce acest lucru a fost confirmat, fișierul continuă să recupereze o sarcină utilă nesemnată cunoscută sub numele de „Geacon Plus” de pe serverul de comandă și control (C2) al atacatorilor, care are o adresă IP originară din China.

Adresa C2 specifică (47.92.123.17) a fost anterior legată de atacurile Cobalt Strike care vizează mașinile Windows. Această asociere sugerează o potențială conexiune sau similitudine între infrastructura atacului observat și cazurile anterioare ale activității Cobalt Strike.

Înainte de a începe „activitatea de semnalizare”, încărcarea utilă folosește o tactică înșelătoare pentru a induce în eroare victimele prin afișarea unui fișier PDF momeală. Documentul afișat se preface ca un CV aparținând unei persoane pe nume Xy Yiqing, cu scopul de a distrage atenția victimei de la acțiunile amenințătoare pe care malware-ul le efectuează în fundal.

Această sarcină utilă specifică Geacon posedă o gamă largă de capabilități, inclusiv sprijinirea comunicațiilor de rețea, efectuarea de funcții de criptare și decriptare a datelor, permițând descărcarea de încărcături utile suplimentare și facilitarea exfiltrarii datelor din sistemul compromis.

Programul malware Geacon se ascunde în aplicația troianizată

Cea de-a doua încărcătură utilă Geacon Malware este implementată prin SecureLink.app și SecureLink_Client, versiuni modificate ale aplicației SecureLink legitime utilizate pentru suport securizat de la distanță. Cu toate acestea, această versiune troianizată include o copie a programului malware „Geacon Pro”. Această sarcină utilă specifică vizează în mod special sistemele Mac bazate pe Intel care rulează OS X 10.9 (Mavericks) sau versiuni ulterioare.

La lansarea aplicației, aceasta solicită diverse permisiuni, inclusiv acces la camera computerului, microfon, contacte, fotografii, mementouri și chiar privilegii de administrator. Aceste permisiuni sunt de obicei protejate de cadrul de confidențialitate Apple Transparency, Consent, and Control (TCC), iar acordarea lor prezintă riscuri semnificative.

Cu toate acestea, în ciuda nivelului ridicat de risc asociat cu aceste permisiuni, ele nu sunt atât de neobișnuite pentru tipul de aplicație pe care Geacon Malware îl masca, atenuând suspiciunile utilizatorului și păcălindu-i să acorde permisiunile solicitate. Conform informațiilor disponibile, această variantă Geacon Malware comunică cu un server C2 situat în Japonia, cu adresa IP 13.230.229.15.

În ultimii ani, a existat o creștere vizibilă a atacurilor malware care vizează dispozitivele Mac. Această creștere poate fi atribuită popularității în creștere a computerelor Mac și concepției greșite că acestea sunt imune la malware. Criminalii cibernetici au recunoscut valoarea potențială a țintirii utilizatorilor Mac, ceea ce a condus la dezvoltarea și implementarea de programe malware mai sofisticate și mai țintite, concepute special pentru sistemele macOS. Desigur, acest lucru necesită o vigilență sporită din partea utilizatorilor de Mac și implementarea unor măsuri de securitate suficiente pentru a-și proteja dispozitivele de infecțiile cu malware.