Geacon-Malware zielt auf Macs ab

Geacon entstand vor etwa vier Jahren auf Github als Implementierung von Cobalt Strike Beacon unter Verwendung der Programmiersprache Go. Obwohl es weit verbreitet war, hatte SentinelOne seinen Einsatz gegen macOS-Ziele bis vor Kurzem nicht entdeckt.

Unsere Analyse der auf VirusTotal gefundenen Payloads deutet auf eine Verschiebung der Beliebtheit hin zu zwei Geacon-Forks hin, die von einem anonymen chinesischen Entwickler mit dem Pseudonym „z3ratu1“ entwickelt wurden. In einem Blogbeitrag von Ende Oktober 2022 erwähnte z3ratu1, dass er während eines Einkaufsbummels auf das Geacon-Projekt gestoßen sei, was das Interesse an seinem Entwicklungsleitfaden weckte. Kurz darauf wurde am 10. November desselben Jahres die erste Mach-O Geacon-Nutzlast an VirusTotal übermittelt.

Bis April dieses Jahres hatten die öffentlichen Projekte von z3ratu1, geacon_plus und geacon_pro (die möglicherweise zum Kauf angeboten werden), fast 1.000 Sterne gesammelt. Diese Projekte wurden dem 404 Starlink-Projekt hinzugefügt, einem öffentlichen Repository, das vom Zhizhi Chuangyu Laboratory verwaltet wird und sich Open-Source-Red-Team- und Penetrationstools widmet. Im selben Monat wurden zwei unterschiedliche Geacon-Payloads an VirusTotal übermittelt, von denen eine Anzeichen einer wirklich bösartigen Kampagne aufwies.

Geacon-Spread mit zwei separaten Versionen

Geacon gibt es in zwei Versionen: eine, die ausschließlich für die Apple-Intel-Architektur kompiliert wurde, und eine andere, die auch Apple-Silizium unterstützt. Diese Malware ist mit macOS-Versionen von OS X 10.9 Mavericks bis zu den neuesten Versionen kompatibel.

Geacon verfügt über verschiedene Funktionalitäten wie Kommunikation und Befehlsempfang, Spionage, Datendiebstahl und die Möglichkeit, zusätzliche Schadprogramme oder Komponenten herunterzuladen/zu installieren. Um effektiv zu funktionieren, erfordert diese Schadsoftware, dass der Benutzer ihr Administratorrechte gewährt.

Darüber hinaus bittet Geacon um Erlaubnis, auf die Kamera, das Mikrofon und verschiedene andere Daten des Geräts wie Bilder, Fotos und Kontakte zuzugreifen. Die Kontrolle der Malware über diese Gerätefunktionen birgt das Risiko, Video- oder Audiodaten aufzuzeichnen, die möglicherweise für schändliche Zwecke wie Erpressung ausgenutzt werden könnten.

Wie hat sich die Mac-Malware-Landschaft in den letzten Jahren verändert?

In den letzten Jahren ist ein spürbarer Anstieg der Häufigkeit von Malware-Angriffen auf Mac-Geräte zu verzeichnen. Mac-Computer sind in der Vergangenheit für ihre hohe Sicherheit und geringere Anfälligkeit für Viren bekannt und genießen den Ruf, relativ sicher vor bösartiger Software zu sein.

Da die Beliebtheit von Macs jedoch weiter zunimmt, haben Cyberkriminelle das Gewinnpotenzial erkannt und ihren Fokus auf die Ausnutzung von Schwachstellen im Apple-Ökosystem verlagert. Dieser Wandel hat zu einem stetigen Anstieg von Malware-Angriffen geführt, die von Adware und Ransomware bis hin zu ausgefeilten Phishing-Angriffen reichen, die speziell auf Mac-Benutzer zugeschnitten sind.

Daher sehen sich Mac-Benutzer jetzt mit einem erhöhten Bedarf an Wachsamkeit und proaktiven Sicherheitsmaßnahmen konfrontiert, um ihre Geräte und persönlichen Daten vor diesen sich entwickelnden Bedrohungen zu schützen.