Το Geacon Malware στοχεύει Mac

Το Geacon εμφανίστηκε στο Github πριν από περίπου τέσσερα χρόνια ως υλοποίηση του Cobalt Strike Beacon χρησιμοποιώντας τη γλώσσα προγραμματισμού Go. Ενώ είχε διασπαστεί ευρέως, το SentinelOne δεν είχε εντοπίσει την ανάπτυξή του σε στόχους macOS μέχρι πρόσφατα.

Η ανάλυσή μας για τα ωφέλιμα φορτία που βρέθηκαν στο VirusTotal δείχνει μια αλλαγή στη δημοτικότητα προς δύο πιρούνια Geacon που αναπτύχθηκαν από έναν ανώνυμο Κινέζο προγραμματιστή που χρησιμοποιεί τη λαβή "z3ratu1". Σε μια ανάρτηση ιστολογίου από τα τέλη Οκτωβρίου 2022, το z3ratu1 ανέφερε ότι έπεσε πάνω στο έργο Geacon κατά τη διάρκεια ενός ταξιδιού για ψώνια, κεντρίζοντας το ενδιαφέρον για τον οδηγό ανάπτυξής του. Αμέσως μετά, το πρώτο ωφέλιμο φορτίο Mach-O Geacon υποβλήθηκε στο VirusTotal στις 10 Νοεμβρίου του ίδιου έτους.

Μέχρι τον Απρίλιο του τρέχοντος έτους, τα δημόσια έργα του z3ratu1, τα geacon_plus και geacon_pro (τα οποία ενδέχεται να είναι διαθέσιμα για αγορά), είχαν συγκεντρώσει σχεδόν 1.000 αστέρια. Αυτά τα έργα προστέθηκαν στο έργο 404 Starlink, ένα δημόσιο αποθετήριο που διατηρείται από το εργαστήριο Zhizhi Chuangyu, αφιερωμένο σε εργαλεία ανοιχτού κώδικα red-team και διείσδυσης. Τον ίδιο μήνα, δύο διαφορετικά ωφέλιμα φορτία Geacon υποβλήθηκαν στο VirusTotal, ένα από τα οποία εμφάνιζε σημάδια μιας πραγματικά κακόβουλης καμπάνιας.

Geacon Spread χρησιμοποιώντας δύο ξεχωριστές εκδόσεις

Το Geacon υπάρχει σε δύο εκδόσεις: μια μεταγλωττισμένη αποκλειστικά για την αρχιτεκτονική Apple-Intel και μια άλλη που υποστηρίζει επίσης το πυρίτιο της Apple. Αυτό το κακόβουλο λογισμικό είναι συμβατό με εκδόσεις macOS που κυμαίνονται από OS X 10.9 Mavericks έως τις πιο πρόσφατες εκδόσεις.

Η Geacon διαθέτει διάφορες λειτουργίες, όπως λήψη επικοινωνίας και εντολών, κατασκοπεία, κλοπή δεδομένων και δυνατότητα λήψης/εγκατάστασης πρόσθετων κακόβουλων προγραμμάτων ή στοιχείων. Για να λειτουργεί αποτελεσματικά, αυτό το κακόβουλο λογισμικό απαιτεί από τον χρήστη να του εκχωρήσει δικαιώματα διαχειριστή.

Επιπλέον, η Geacon ζητά άδεια πρόσβασης στην κάμερα, το μικρόφωνο και διάφορα άλλα δεδομένα της συσκευής, όπως εικόνες, φωτογραφίες και επαφές. Ο έλεγχος του κακόβουλου λογισμικού σε αυτές τις λειτουργίες της συσκευής ενέχει τον κίνδυνο εγγραφής βίντεο ή ήχου, ο οποίος θα μπορούσε ενδεχομένως να αξιοποιηθεί για κακόβουλους σκοπούς, όπως ο εκβιασμός.

Πώς άλλαξε το τοπίο κακόβουλου λογισμικού Mac τα τελευταία χρόνια

Τα τελευταία χρόνια, υπήρξε μια αξιοσημείωτη αύξηση στη συχνότητα των επιθέσεων κακόβουλου λογισμικού που στοχεύουν συσκευές Mac. Ιστορικά γνωστοί για την ισχυρή τους ασφάλεια και τη χαμηλότερη ευαισθησία στους ιούς, οι υπολογιστές Mac απολαμβάνουν τη φήμη ότι είναι σχετικά ασφαλείς από κακόβουλο λογισμικό.

Ωστόσο, καθώς η δημοτικότητα των Mac συνεχίζει να αυξάνεται, οι εγκληματίες του κυβερνοχώρου έχουν αναγνωρίσει τη δυνατότητα για κέρδος και έχουν στρέψει το ενδιαφέρον τους προς την εκμετάλλευση των τρωτών σημείων στο οικοσύστημα της Apple. Αυτή η μετατόπιση είχε ως αποτέλεσμα μια σταθερή αύξηση των επιθέσεων κακόβουλου λογισμικού, που κυμαίνονται από adware και ransomware έως εξελιγμένα συστήματα phishing ειδικά προσαρμοσμένα στους χρήστες Mac.

Ως αποτέλεσμα, οι χρήστες Mac αντιμετωπίζουν τώρα μια αυξημένη ανάγκη για επαγρύπνηση και προληπτικά μέτρα ασφαλείας για την προστασία των συσκευών και των προσωπικών τους δεδομένων από αυτές τις εξελισσόμενες απειλές.