El malware Geacon se dirige a las Mac
Geacon surgió en Github hace unos cuatro años como una implementación de Cobalt Strike Beacon utilizando el lenguaje de programación Go. Si bien se había bifurcado ampliamente, SentinelOne no había detectado su implementación contra objetivos de macOS hasta hace poco.
Nuestro análisis de las cargas útiles encontradas en VirusTotal indica un cambio en la popularidad hacia dos bifurcaciones Geacon desarrolladas por un desarrollador chino anónimo que se hace llamar "z3ratu1". En una publicación de blog de fines de octubre de 2022, z3ratu1 mencionó haber tropezado con el proyecto Geacon durante un viaje de compras, lo que despertó el interés en su guía de desarrollo. Poco después, el 10 de noviembre del mismo año se envió a VirusTotal la primera carga útil de Mach-O Geacon.
En abril de este año, los proyectos públicos de z3ratu1, geacon_plus y geacon_pro (que potencialmente pueden estar disponibles para su compra), habían obtenido casi 1000 estrellas. Estos proyectos se agregaron al proyecto 404 Starlink, un repositorio público mantenido por el Laboratorio Zhizhi Chuangyu, dedicado a herramientas de penetración y equipo rojo de código abierto. Durante ese mismo mes, se enviaron dos cargas útiles de Geacon distintas a VirusTotal, una de las cuales mostraba signos de una campaña genuinamente maliciosa.
Propagación de Geacon usando dos versiones separadas
Geacon existe en dos versiones: una compilada exclusivamente para la arquitectura Apple-Intel y otra que también es compatible con el silicio de Apple. Este malware es compatible con las versiones de macOS que van desde OS X 10.9 Mavericks hasta las últimas versiones.
Geacon posee varias funcionalidades, como comunicación y recepción de comandos, espionaje, robo de datos y la capacidad de descargar/instalar programas o componentes maliciosos adicionales. Para operar de manera efectiva, este software malicioso requiere que el usuario le otorgue privilegios de administrador.
Además, Geacon solicita permiso para acceder a la cámara, el micrófono y otros datos del dispositivo, como imágenes, fotos y contactos. El control del malware sobre estas características del dispositivo presenta el riesgo de grabar video o audio, lo que podría explotarse con fines nefastos, como el chantaje.
¿Cómo ha cambiado el panorama del malware para Mac en los últimos años?
En los últimos años, ha habido un aumento notable en la frecuencia de los ataques de malware dirigidos a dispositivos Mac. Históricamente conocidas por su robusta seguridad y menor susceptibilidad a los virus, las computadoras Mac han gozado de la reputación de estar relativamente a salvo del software malicioso.
Sin embargo, a medida que la popularidad de las Mac continúa aumentando, los ciberdelincuentes han reconocido el potencial de ganancias y han cambiado su enfoque hacia la explotación de vulnerabilidades en el ecosistema de Apple. Este cambio ha resultado en un aumento constante de los ataques de malware, que van desde adware y ransomware hasta sofisticados esquemas de phishing diseñados específicamente para usuarios de Mac.
Como resultado, los usuarios de Mac ahora enfrentan una mayor necesidad de vigilancia y medidas de seguridad proactivas para proteger sus dispositivos y datos personales de estas amenazas en evolución.