Geacon Mac Malware

Sipas studiuesve të sigurisë kibernetike, Geacon Malware është një zbatim i beacon Cobalt Strike, i ndërtuar duke përdorur gjuhën e programimit Go. Kërcënimi është shfaqur si një mjet i fuqishëm kërcënues për të synuar pajisjet macOS. Ndërsa Geacon dhe Cobalt Strike fillimisht u krijuan si shërbime legjitime të përdorura nga organizatat për të testuar sigurinë e rrjetit të tyre përmes sulmeve të simuluara, aktorët me mendje të liga i kanë shfrytëzuar gjithnjë e më shumë për aktivitete të ndryshme të liga.

Për vite me radhë, aktorët e kërcënimit kanë përfituar nga Cobalt Strike për të komprometuar sistemet e Windows, duke e çuar industrinë e sigurisë kibernetike për të luftuar vazhdimisht këtë kërcënim të vazhdueshëm. Sidoqoftë, rritja e fundit në përdorimin e Geacon nxjerr në pah shtrirjen e zgjeruar të sulmeve që synojnë pajisjet macOS. Kjo nënkupton nevojën për vigjilencë të shtuar dhe masa proaktive për të kundërshtuar taktikat në zhvillim të përdorura nga aktorët e kërcënimit që përdorin këto mjete. Detajet rreth malware Geacon dhe aftësitë e tij të dëmshme u publikuan në një raport nga studiuesit që kanë monitoruar aktivitetin e kërcënimit.

Dy variante të malware Geacon të vëzhguara në natyrë

Skedari i parë i lidhur me Geacon është një aplikacion AppleScript i quajtur 'Xu Yiqing's Resume_20230320.app.' Qëllimi i tij është të verifikojë nëse me të vërtetë po funksionon në një sistem macOS. Pasi të konfirmohet kjo, skedari vazhdon të marrë një ngarkesë të panënshkruar të njohur si 'Geacon Plus' nga serveri Command-and-Control (C2) i sulmuesve, i cili ka një adresë IP me origjinë nga Kina.

Adresa specifike C2 (47.92.123.17) ka qenë e lidhur më parë me sulmet e Cobalt Strike që synojnë makinat Windows. Ky shoqatë sugjeron një lidhje ose ngjashmëri të mundshme midis infrastrukturës së sulmit të vëzhguar dhe rasteve të mëparshme të aktivitetit të Cobalt Strike.

Përpara fillimit të 'aktivitetit të saj të sinjalizimit', ngarkesa përdor një taktikë mashtruese për të mashtruar viktimat duke shfaqur një skedar PDF të rremë. Dokumenti i shfaqur maskohet si një rezyme që i përket një individi të quajtur Xy Yiqing, duke synuar të largojë vëmendjen e viktimës nga veprimet kërcënuese që malware po kryen në sfond.

Kjo ngarkesë specifike Geacon zotëron një sërë aftësish, duke përfshirë mbështetjen e komunikimeve në rrjet, kryerjen e funksioneve të enkriptimit dhe deshifrimit të të dhënave, duke mundësuar shkarkimin e ngarkesave shtesë dhe lehtësimin e ekfiltrimit të të dhënave nga sistemi i komprometuar.

Malware Geacon që fshihet brenda aplikacionit të trojanizuar

Ngarkesa e dytë Geacon Malware shpërndahet përmes SecureLink.app dhe SecureLink_Client, versione të modifikuara të aplikacionit legjitim SecureLink të përdorur për mbështetje të sigurt në distancë. Megjithatë, ky version i trojanizuar përfshin një kopje të malware 'Geacon Pro'. Kjo ngarkesë e veçantë synon në mënyrë specifike sistemet Mac të bazuara në Intel që ekzekutojnë OS X 10.9 (Mavericks) ose versione të mëvonshme.

Me nisjen e aplikacionit, ai kërkon leje të ndryshme, duke përfshirë aksesin në kamerën e kompjuterit, mikrofonin, kontaktet, fotot, përkujtuesit dhe madje edhe privilegjet e administratorit. Këto leje zakonisht mbrohen nga korniza e privatësisë së Transparencës, Pëlqimit dhe Kontrollit (TCC) të Apple dhe dhënia e tyre paraqet rreziqe të konsiderueshme.

Megjithatë, pavarësisht nga niveli i lartë i rrezikut që lidhet me këto leje, ato nuk janë aq të pazakonta për llojin e aplikacionit që po maskon Geacon Malware, duke lehtësuar dyshimet e përdoruesit dhe duke i mashtruar ata për të dhënë lejet e kërkuara. Sipas informacionit të disponueshëm, ky variant Geacon Malware komunikon me një server C2 të vendosur në Japoni, me adresën IP 13.230.229.15.

Në vitet e fundit, ka pasur një rritje të dukshme të sulmeve malware që synojnë pajisjet Mac. Kjo rritje mund t'i atribuohet popullaritetit në rritje të kompjuterëve Mac dhe keqkuptimit se ata janë imun ndaj malware. Kriminelët kibernetikë e kanë njohur vlerën e mundshme në shënjestrimin e përdoruesve të Mac, duke çuar në zhvillimin dhe vendosjen e malware më të sofistikuar dhe të synuar të krijuar posaçërisht për sistemet macOS. Natyrisht, kjo kërkon vigjilencë të shtuar nga përdoruesit e Mac dhe zbatimin e masave të mjaftueshme të sigurisë për të mbrojtur pajisjet e tyre nga infeksionet malware.