Geacon Malware cible les Mac

Geacon est apparu sur Github il y a environ quatre ans en tant qu'implémentation de Cobalt Strike Beacon utilisant le langage de programmation Go. Bien qu'il ait été largement bifurqué, SentinelOne n'avait pas détecté son déploiement contre des cibles macOS jusqu'à récemment.

Notre analyse des charges utiles trouvées sur VirusTotal indique un changement de popularité vers deux fourches Geacon développées par un développeur chinois anonyme qui s'appelle "z3ratu1". Dans un article de blog de fin octobre 2022, z3ratu1 a mentionné être tombé sur le projet Geacon lors d'une virée shopping, suscitant l'intérêt pour son guide de développement. Peu de temps après, la première charge utile Mach-O Geacon a été soumise à VirusTotal le 10 novembre de la même année.

En avril de cette année, les projets publics de z3ratu1, geacon_plus et geacon_pro (qui peuvent potentiellement être disponibles à l'achat), avaient recueilli près de 1 000 étoiles. Ces projets ont été ajoutés au projet 404 Starlink, un référentiel public maintenu par le laboratoire Zhizhi Chuangyu, dédié aux outils open source red-team et de pénétration. Au cours de ce même mois, deux charges utiles Geacon distinctes ont été soumises à VirusTotal, dont l'une présentait des signes d'une campagne véritablement malveillante.

Geacon se propage en utilisant deux versions distinctes

Geacon existe en deux versions : une compilée exclusivement pour l'architecture Apple-Intel, et une autre qui prend également en charge le silicium Apple. Ce malware est compatible avec les versions de macOS allant de OS X 10.9 Mavericks jusqu'aux dernières versions.

Geacon possède diverses fonctionnalités, telles que la communication et la réception de commandes, l'espionnage, le vol de données et la possibilité de télécharger/installer des programmes ou composants malveillants supplémentaires. Pour fonctionner efficacement, ce logiciel malveillant nécessite que l'utilisateur lui accorde des privilèges d'administrateur.

En outre, Geacon demande l'autorisation d'accéder à l'appareil photo, au microphone et à diverses autres données de l'appareil, telles que des images, des photos et des contacts. Le contrôle du logiciel malveillant sur ces fonctionnalités de l'appareil présente le risque d'enregistrer de la vidéo ou de l'audio, qui pourrait potentiellement être exploité à des fins néfastes, telles que le chantage.

Comment le paysage des logiciels malveillants Mac a-t-il changé ces dernières années

Ces dernières années, il y a eu une augmentation notable de la fréquence des attaques de logiciels malveillants ciblant les appareils Mac. Historiquement connus pour leur sécurité robuste et leur faible sensibilité aux virus, les ordinateurs Mac ont la réputation d'être relativement à l'abri des logiciels malveillants.

Cependant, alors que la popularité des Mac continue d'augmenter, les cybercriminels ont reconnu le potentiel de profit et se sont concentrés sur l'exploitation des vulnérabilités de l'écosystème d'Apple. Ce changement a entraîné une augmentation constante des attaques de logiciels malveillants, allant des logiciels publicitaires et des rançongiciels aux schémas de phishing sophistiqués spécifiquement adaptés aux utilisateurs de Mac.

En conséquence, les utilisateurs de Mac sont désormais confrontés à un besoin accru de vigilance et de mesures de sécurité proactives pour protéger leurs appareils et leurs données personnelles contre ces menaces en constante évolution.