A Geacon Malware Mac gépeket céloz meg

A Geacon körülbelül négy éve jelent meg a Githubon a Cobalt Strike Beacon megvalósításaként a Go programozási nyelv használatával. Noha széles körben elterjedt, a SentinelOne egészen a közelmúltig nem észlelte a macOS-célok elleni telepítését.

A VirusTotalon talált rakományelemzésünk azt jelzi, hogy a népszerűség elmozdul a két Geacon villa felé, amelyet egy névtelen kínai fejlesztő fejlesztett ki, aki a „z3ratu1” fogantyú mellett dolgozik. Egy 2022. október végi blogbejegyzésben a z3ratu1 megemlítette, hogy egy bevásárlás során belebotlott a Geacon projektbe, ami felkeltette az érdeklődést a fejlesztési útmutatója iránt. Nem sokkal ezután az első Mach-O Geacon rakományt ugyanazon év november 10-én benyújtották a VirusTotalnak.

Ez év áprilisáig a z3ratu1 nyilvános projektjei, a geacon_plus és a geacon_pro (amelyek potenciálisan megvásárolhatók) közel 1000 csillagot gyűjtöttek. Ezeket a projekteket hozzáadták a 404 Starlink projekthez, amely a Zhizhi Chuangyu Laboratory által karbantartott nyilvános adattár, amely a nyílt forráskódú red-team és a behatolási eszközök számára készült. Ugyanebben a hónapban két különböző Geacon rakományt nyújtottak be a VirusTotalnak, amelyek közül az egyik valóban rosszindulatú kampányra utaló jeleket mutatott.

Geacon Spread két külön verzióval

A Geacon két változatban létezik: az egyik kizárólag az Apple-Intel architektúrára lett fordítva, a másik pedig az Apple szilíciumát is támogatja. Ez a kártevő kompatibilis a macOS verziókkal, az OS X 10.9 Mavericks-től a legújabb kiadásokig.

A Geacon különféle funkciókkal rendelkezik, mint például a kommunikáció és a parancsok fogadása, a kémkedés, az adatlopás, valamint a további rosszindulatú programok vagy összetevők letöltésének/telepítésének képessége. A rosszindulatú szoftver hatékony működéséhez a felhasználótól rendszergazdai jogosultságokat kell biztosítania.

Ezenkívül a Geacon engedélyt kér az eszköz kamerájához, mikrofonjához és számos egyéb adathoz, például képekhez, fényképekhez és névjegyekhez való hozzáférésre. A rosszindulatú program ezen eszközfunkciók feletti irányítása video- vagy hangrögzítés kockázatát rejti magában, amelyet esetleg aljas célokra, például zsarolásra használhatnak ki.

Hogyan változott a Mac malware környezet az elmúlt években?

Az elmúlt években észrevehetően megugrott a Mac-eszközöket célzó rosszindulatú támadások gyakorisága. A történelmileg robusztus biztonságukról és a vírusokkal szembeni alacsonyabb érzékenységükről ismert Mac számítógépek arról híresek, hogy viszonylag biztonságosak a rosszindulatú szoftverekkel szemben.

Mivel azonban a Mac-ek népszerűsége folyamatosan növekszik, a kiberbűnözők felismerték a profit lehetőségét, és az Apple ökoszisztémájának sebezhetőségeinek kihasználására helyezték a hangsúlyt. Ez az elmozdulás a rosszindulatú támadások számának folyamatos növekedését eredményezte, a reklámprogramoktól és a zsarolóprogramoktól a kifinomult, kifejezetten a Mac-felhasználókra szabott adathalász sémákig.

Ennek eredményeként a Mac-felhasználóknak fokozott éberségre és proaktív biztonsági intézkedésekre van szükségük, hogy megvédjék eszközeiket és személyes adataikat ezekkel a fejlődő fenyegetésekkel szemben.