Геацон Мац малвер
Према истраживачима сајбер безбедности, Геацон Малваре је имплементација Цобалт Стрике беацон-а, направљеног помоћу програмског језика Го. Претња се појавила као моћно претеће средство за циљање мацОС уређаја. Док су Геацон и Цобалт Стрике првобитно били дизајнирани као легитимни услужни програми које организације користе да тестирају своју мрежну сигурност путем симулираних напада, зли актери су их све више искоришћавали за разне подле активности.
Годинама су актери претњи користили предност Цобалт Стрике-а да компромитују Виндовс системе, водећи индустрију сајбер безбедности да се непрестано бори против ове упорне претње. Међутим, недавни пораст употребе Геацон-а наглашава све већи обим напада који циљају мацОС уређаје. Ово означава потребу за повећаном будношћу и проактивним мерама за сузбијање еволуирајућих тактика које користе актери претњи који користе ове алате. Детаљи о Геацон малверу и његовим штетним могућностима објављени су у извештају истраживача који су пратили активност претње.
Две варијанте Геацон малвера примећене у дивљини
Прва датотека повезана са Геацон-ом је АпплеСцрипт аплет под називом 'Ксу Иикинг'с Ресуме_20230320.апп.' Његова сврха је да провери да ли заиста ради на мацОС систему. Када се ово потврди, датотека наставља са преузимањем непотписаног терета познатог као 'Геацон Плус' са сервера за команду и контролу (Ц2) нападача, који има ИП адресу пореклом из Кине.
Конкретна Ц2 адреса (47.92.123.17) је раније била повезана са нападима на Цобалт Стрике који циљају на Виндовс машине. Ова асоцијација сугерише потенцијалну везу или сличност између инфраструктуре посматраног напада и претходних случајева активности Кобалт Стрике.
Пре него што започне своју 'активност светионика', корисни терет користи преварантску тактику да доведе жртве у заблуду тако што ће приказати лажни ПДФ фајл. Приказани документ маскира се као животопис који припада појединцу по имену Кси Иикинг, са циљем да скрене пажњу жртве са претећих радњи које малвер изводи у позадини.
Овај специфични Геацон корисни терет поседује низ могућности, укључујући подршку мрежним комуникацијама, извођење функција шифровања и дешифровања података, омогућавање преузимања додатних корисних оптерећења и олакшавање ексфилтрације података из компромитованог система.
Злонамерни софтвер Геацон који се крије унутар тројанизоване апликације
Други Геацон Малваре корисни терет се примењује преко СецуреЛинк.апп и СецуреЛинк_Цлиент, модификованих верзија легитимне СецуреЛинк апликације која се користи за безбедну даљинску подршку. Међутим, ова тројанизована верзија укључује копију 'Геацон Про' малвера. Ово конкретно оптерећење посебно циља Мац системе засноване на Интел-у који користе ОС Кс 10.9 (Маверицкс) или новије верзије.
Након покретања апликације, она захтева различите дозволе, укључујући приступ камери, микрофону, контактима, фотографијама, подсетницима, па чак и администраторске привилегије. Ове дозволе су обично заштићене Апплеовим оквиром приватности за транспарентност, сагласност и контролу (ТЦЦ) и њихово додељивање представља значајне ризике.
Међутим, упркос високом нивоу ризика који је повезан са овим дозволама, оне нису толико необичне за врсту апликације коју Геацон малвер маскира, ублажавајући сумње корисника и наводећи их да дају тражене дозволе. Према доступним информацијама, ова варијанта Геацон Малваре-а комуницира са Ц2 сервером који се налази у Јапану, са ИП адресом 13.230.229.15.
Последњих година приметан је пораст напада малвера који циљају Мац уређаје. Овај пораст се може приписати растућој популарности Мац рачунара и погрешном схватању да су имуни на малвер. Сајбер криминалци су препознали потенцијалну вредност у циљању Мац корисника, што је довело до развоја и примене софистициранијег и циљаног малвера посебно дизајнираног за мацОС системе. Наравно, ово захтева повећану будност корисника Мац-а и примену довољних безбедносних мера за заштиту својих уређаја од инфекција малвером.
