Geacon Malware retter seg mot Mac-er

Geacon dukket opp på Github for omtrent fire år siden som en implementering av Cobalt Strike Beacon ved bruk av programmeringsspråket Go. Selv om det hadde blitt mye gaffel, hadde ikke SentinelOne oppdaget utplasseringen mot macOS-mål før nylig.

Vår analyse av nyttelastene funnet på VirusTotal indikerer et skift i popularitet mot to Geacon-gafler utviklet av en anonym kinesisk utvikler som går etter håndtaket «z3ratu1». I et blogginnlegg fra slutten av oktober 2022 nevnte z3ratu1 å snuble over Geacon-prosjektet under en handletur, noe som vekket interesse for utviklingsguiden. Like etter ble den første Mach-O Geacon-nyttelasten sendt til VirusTotal 10. november samme år.

I april i år hadde z3ratu1s offentlige prosjekter, geacon_plus og geacon_pro (som potensielt kan være tilgjengelig for kjøp), fått nesten 1000 stjerner. Disse prosjektene ble lagt til 404 Starlink-prosjektet, et offentlig depot vedlikeholdt av Zhizhi Chuangyu Laboratory, dedikert til åpen kildekode-red-team og penetrasjonsverktøy. I løpet av den samme måneden ble to distinkte Geacon-nyttelaster sendt til VirusTotal, hvorav den ene viste tegn på en genuint ondsinnet kampanje.

Geacon-spredning med to separate versjoner

Geacon finnes i to versjoner: en kompilert eksklusivt for Apple-Intel-arkitektur, og en annen som også støtter Apple silisium. Denne skadelige programvaren er kompatibel med macOS-versjoner som spenner fra OS X 10.9 Mavericks til de nyeste utgivelsene.

Geacon har ulike funksjoner, som kommunikasjon og kommandomottak, spionasje, datatyveri og muligheten til å laste ned/installere ytterligere skadelige programmer eller komponenter. For å fungere effektivt krever denne ondsinnede programvaren at brukeren gir den administratorrettigheter.

Videre søker Geacon tillatelse til å få tilgang til enhetens kamera, mikrofon og diverse andre data som bilder, bilder og kontakter. Skadevarens kontroll over disse enhetsfunksjonene utgjør en risiko for opptak av video eller lyd, som potensielt kan utnyttes til ondsinnede formål, for eksempel utpressing.

Hvordan har Mac Malware-landskapet endret seg de siste årene

De siste årene har det vært en merkbar økning i frekvensen av malware-angrep rettet mot Mac-enheter. Historisk kjent for sin robuste sikkerhet og lavere mottakelighet for virus, har Mac-datamaskiner hatt et rykte for å være relativt sikre mot skadelig programvare.

Men ettersom populariteten til Mac-maskiner fortsetter å øke, har nettkriminelle anerkjent potensialet for profitt og har skiftet fokus mot å utnytte sårbarheter i Apples økosystem. Dette skiftet har resultert i en jevn økning i malware-angrep, alt fra adware og løsepengeprogramvare til sofistikerte phishing-opplegg spesielt skreddersydd for Mac-brukere.

Som et resultat står Mac-brukere nå overfor et økt behov for årvåkenhet og proaktive sikkerhetstiltak for å beskytte enhetene og personlige dataene deres mot disse truslene i utvikling.