Il malware Geacon prende di mira i Mac

Geacon è emerso su Github circa quattro anni fa come implementazione di Cobalt Strike Beacon utilizzando il linguaggio di programmazione Go. Sebbene fosse stato ampiamente biforcato, SentinelOne non ne aveva rilevato la distribuzione su obiettivi macOS fino a poco tempo fa.

La nostra analisi dei payload trovati su VirusTotal indica uno spostamento di popolarità verso due fork Geacon sviluppati da uno sviluppatore cinese anonimo che si fa chiamare "z3ratu1". In un post sul blog della fine di ottobre 2022, z3ratu1 ha menzionato di essersi imbattuto nel progetto Geacon durante un giro di shopping, suscitando interesse per la sua guida allo sviluppo. Poco dopo, il 10 novembre dello stesso anno, il primo payload di Mach-O Geacon è stato inviato a VirusTotal.

Ad aprile di quest'anno, i progetti pubblici di z3ratu1, geacon_plus e geacon_pro (che potrebbero essere potenzialmente disponibili per l'acquisto), avevano raccolto quasi 1.000 stelle. Questi progetti sono stati aggiunti al progetto 404 Starlink, un repository pubblico gestito dallo Zhizhi Chuangyu Laboratory, dedicato agli strumenti open source red-team e di penetrazione. Durante lo stesso mese, due distinti payload Geacon sono stati inviati a VirusTotal, uno dei quali mostrava segni di una vera e propria campagna dannosa.

Geacon si è diffuso utilizzando due versioni separate

Geacon esiste in due versioni: una compilata esclusivamente per l'architettura Apple-Intel e un'altra che supporta anche il silicio Apple. Questo malware è compatibile con le versioni di macOS che vanno da OS X 10.9 Mavericks fino alle ultime versioni.

Geacon possiede varie funzionalità, come comunicazione e ricezione di comandi, spionaggio, furto di dati e la possibilità di scaricare/installare programmi o componenti dannosi aggiuntivi. Per funzionare in modo efficace, questo software dannoso richiede all'utente di concedergli i privilegi di amministratore.

Inoltre, Geacon chiede il permesso di accedere alla fotocamera, al microfono e a vari altri dati del dispositivo come immagini, foto e contatti. Il controllo del malware su queste funzionalità del dispositivo presenta il rischio di registrare video o audio, che potrebbero essere potenzialmente sfruttati per scopi nefasti, come il ricatto.

Come è cambiato il panorama dei malware per Mac negli ultimi anni

Negli ultimi anni, c'è stato un notevole aumento della frequenza degli attacchi malware ai dispositivi Mac. Storicamente noti per la loro solida sicurezza e la minore suscettibilità ai virus, i computer Mac hanno goduto della reputazione di essere relativamente al sicuro da software dannoso.

Tuttavia, poiché la popolarità dei Mac continua a crescere, i criminali informatici hanno riconosciuto il potenziale di profitto e hanno spostato la loro attenzione verso lo sfruttamento delle vulnerabilità nell'ecosistema Apple. Questo cambiamento ha portato a un costante aumento degli attacchi di malware, che vanno da adware e ransomware a sofisticati schemi di phishing appositamente studiati per gli utenti Mac.

Di conseguenza, gli utenti Mac devono ora affrontare una maggiore necessità di vigilanza e misure di sicurezza proattive per salvaguardare i propri dispositivi e dati personali da queste minacce in continua evoluzione.