Geacon Mac Malware

Enligt cybersäkerhetsforskare är Geacon Malware en implementering av Cobalt Strike beacon, byggd med hjälp av programmeringsspråket Go. Hotet har dykt upp som ett potent hotfullt verktyg för att rikta in sig på macOS-enheter. Medan Geacon och Cobalt Strike ursprungligen designades som legitima verktyg som används av organisationer för att testa deras nätverkssäkerhet genom simulerade attacker, har elaka skådespelare i allt högre grad utnyttjat dem för olika skändliga aktiviteter.

I åratal har hotaktörer utnyttjat Cobalt Strike för att äventyra Windows-system, vilket leder till att cybersäkerhetsindustrin kontinuerligt bekämpar detta ihållande hot. Den senaste tidens ökning av användningen av Geacon belyser dock den växande omfattningen av attacker mot macOS-enheter. Detta innebär behovet av ökad vaksamhet och proaktiva åtgärder för att motverka den utvecklande taktiken som används av hotaktörer som utnyttjar dessa verktyg. Detaljer om Geacon Malware och dess skadliga funktioner släpptes i en rapport från forskarna som har övervakat hotets aktivitet.

Två varianter av Geacon Malware observerad i naturen

Den första filen som är associerad med Geacon är en AppleScript-applet som heter "Xu Yiqing's Resume_20230320.app." Syftet är att verifiera att det verkligen körs på ett macOS-system. När detta har bekräftats fortsätter filen med att hämta en osignerad nyttolast känd som 'Geacon Plus' från angriparnas Command-and-Control-server (C2), som har en IP-adress som kommer från Kina.

Den specifika C2-adressen (47.92.123.17) har tidigare kopplats till Cobalt Strike-attacker riktade mot Windows-maskiner. Denna association antyder en potentiell koppling eller likhet mellan infrastrukturen för den observerade attacken och tidigare instanser av Cobalt Strike-aktivitet.

Innan den påbörjar sin "beaconing-aktivitet" använder nyttolasten en vilseledande taktik för att vilseleda offer genom att visa en lockbete-PDF-fil. Det visade dokumentet maskerar sig som ett CV som tillhör en person som heter Xy Yiqing, i syfte att avleda offrets uppmärksamhet från de hotfulla handlingar som skadlig programvara utför i bakgrunden.

Denna specifika Geacon-nyttolast har en rad funktioner, inklusive stöd för nätverkskommunikation, utför datakryptering och dekrypteringsfunktioner, möjliggör nedladdning av ytterligare nyttolaster och underlättar exfiltrering av data från det komprometterade systemet.

Geacon Malware gömmer sig inuti trojaniserad applikation

Den andra Geacon Malware-nyttolasten distribueras via SecureLink.app och SecureLink_Client, modifierade versioner av den legitima SecureLink-applikationen som används för säker fjärrsupport. Den här trojaniserade versionen innehåller dock en kopia av skadlig programvara "Geacon Pro". Denna speciella nyttolast riktar sig specifikt till Intel-baserade Mac-system som kör OS X 10.9 (Mavericks) eller senare versioner.

När applikationen startas begär den olika behörigheter, inklusive åtkomst till datorns kamera, mikrofon, kontakter, foton, påminnelser och till och med administratörsprivilegier. Dessa behörigheter skyddas vanligtvis av Apples integritetsramverk för transparens, samtycke och kontroll (TCC) och att bevilja dem innebär betydande risker.

Men trots den höga risknivån som är förknippad med dessa behörigheter är de inte så ovanliga för den typ av applikation som Geacon Malware maskerar sig som, vilket underlättar användarens misstankar och lurar dem att ge de begärda behörigheterna. Enligt tillgänglig information kommunicerar denna Geacon Malware-variant med en C2-server i Japan, med IP-adressen 13.230.229.15.

Under de senaste åren har det skett en märkbar ökning av attacker mot skadlig programvara som riktar sig mot Mac-enheter. Denna ökning kan tillskrivas den växande populariteten för Mac-datorer och missuppfattningen att de är immuna mot skadlig programvara. Cyberbrottslingar har insett det potentiella värdet av att rikta in sig på Mac-användare, vilket leder till utveckling och distribution av mer sofistikerad och riktad skadlig programvara speciellt designad för macOS-system. Naturligtvis kräver detta ökad vaksamhet från Mac-användare och implementering av tillräckliga säkerhetsåtgärder för att skydda deras enheter från skadlig programvara.