Шкідливе програмне забезпечення для Mac Geacon

За словами дослідників кібербезпеки, зловмисне програмне забезпечення Geacon є реалізацією маяка Cobalt Strike, створеного за допомогою мови програмування Go. Ця загроза стала потужним загрозливим інструментом для націлювання на пристрої macOS. Хоча Geacon і Cobalt Strike спочатку були розроблені як законні утиліти, які використовуються організаціями для перевірки безпеки їх мережі за допомогою симуляції атак, зловмисники все частіше використовують їх для різноманітних мерзенних дій.

Протягом багатьох років зловмисники використовували переваги Cobalt Strike для компрометації систем Windows, спонукаючи індустрію кібербезпеки до постійної боротьби з цією постійною загрозою. Однак нещодавнє зростання використання Geacon підкреслює розширення масштабів атак, спрямованих на пристрої macOS. Це означає потребу в підвищеній пильності та профілактичних заходах для протидії тактиці, що розвивається, яку застосовують суб’єкти загрози, які використовують ці інструменти. Подробиці про зловмисне програмне забезпечення Geacon та його шкідливі можливості були оприлюднені у звіті дослідників, які спостерігали за діяльністю загрози.

Два варіанти зловмисного ПЗ Geacon спостерігаються в дикій природі

Перший файл, пов’язаний з Geacon, — це аплет AppleScript під назвою «Xu Yiqing's Resume_20230320.app». Його мета — перевірити, чи він справді працює в системі macOS. Після підтвердження файл переходить до отримання непідписаного корисного навантаження, відомого як «Geacon Plus», із сервера зловмисників Command-and-Control (C2), який має IP-адресу з Китаю.

Конкретна адреса C2 (47.92.123.17) раніше була пов’язана з атаками Cobalt Strike, націленими на машини Windows. Цей зв’язок свідчить про потенційний зв’язок або схожість між інфраструктурою спостережуваної атаки та попередніми випадками активності Cobalt Strike.

Перед початком «активності маяка» корисне навантаження використовує оманливу тактику, щоб ввести жертв в оману, показуючи приманний PDF-файл. Показаний документ маскується під резюме, що належить людині на ім’я Xy Yiqing, щоб відвернути увагу жертви від загрозливих дій, які зловмисне програмне забезпечення виконує у фоновому режимі.

Це конкретне корисне навантаження Geacon має низку можливостей, включаючи підтримку мережевих комунікацій, виконання функцій шифрування та дешифрування даних, уможливлення завантаження додаткових корисних навантажень і сприяння викраданню даних із скомпрометованої системи.

Зловмисне програмне забезпечення Geacon ховається всередині троянської програми

Друге корисне навантаження Geacon Malware розгортається через SecureLink.app і SecureLink_Client, модифіковані версії законної програми SecureLink, яка використовується для безпечної віддаленої підтримки. Однак ця троянська версія містить копію шкідливого ПЗ «Geacon Pro». Це конкретне корисне навантаження спеціально націлено на системи Mac на базі Intel під керуванням OS X 10.9 (Mavericks) або новіших версій.

Після запуску програма запитує різні дозволи, включаючи доступ до камери комп’ютера, мікрофона, контактів, фотографій, нагадувань і навіть права адміністратора. Ці дозволи зазвичай захищені системою конфіденційності Apple Transparency, Consent, and Control (TCC), тому їх надання створює значні ризики.

Однак, незважаючи на високий рівень ризику, пов’язаний із цими дозволами, вони не такі вже й незвичайні для програми, під яку маскується зловмисне програмне забезпечення Geacon, зменшуючи підозри користувача та обманом змушуючи його надати потрібні дозволи. Згідно з наявною інформацією, цей варіант шкідливого програмного забезпечення Geacon зв’язується з сервером C2, розташованим у Японії, з IP-адресою 13.230.229.15.

Останніми роками спостерігається помітне збільшення атак зловмисного програмного забезпечення, націлених на пристрої Mac. Це зростання можна пояснити зростаючою популярністю комп’ютерів Mac і помилковим уявленням про те, що вони захищені від шкідливих програм. Кіберзлочинці визнали потенційну цінність націлювання на користувачів Mac, що призвело до розробки та розгортання більш складного та цільового шкідливого програмного забезпечення, спеціально розробленого для систем macOS. Природно, це вимагає від користувачів Mac підвищеної пильності та впровадження достатніх заходів безпеки для захисту їхніх пристроїв від зараження шкідливим програмним забезпеченням.