Geacon Malware richt zich op Macs

Geacon verscheen ongeveer vier jaar geleden op Github als een implementatie van Cobalt Strike Beacon met behulp van de Go-programmeertaal. Hoewel het op grote schaal was gesplitst, had SentinelOne de implementatie tegen macOS-doelen tot voor kort niet gedetecteerd.

Onze analyse van de payloads die op VirusTotal zijn gevonden, wijst op een verschuiving in populariteit naar twee Geacon-vorken die zijn ontwikkeld door een anonieme Chinese ontwikkelaar die bekend staat onder de naam "z3ratu1". In een blogpost van eind oktober 2022 vermeldde z3ratu1 dat hij tijdens een shoppingtrip het Geacon-project tegenkwam, wat leidde tot interesse in de ontwikkelingsgids. Kort daarna werd op 10 november van hetzelfde jaar de eerste Mach-O Geacon-payload ingediend bij VirusTotal.

In april van dit jaar hadden de openbare projecten van z3ratu1, geacon_plus en geacon_pro (die mogelijk te koop zijn), bijna 1000 sterren verzameld. Deze projecten zijn toegevoegd aan het 404 Starlink-project, een openbare repository die wordt onderhouden door het Zhizhi Chuangyu Laboratory, gewijd aan open source red-team- en penetratietools. In diezelfde maand werden twee verschillende Geacon-payloads ingediend bij VirusTotal, waarvan er één tekenen vertoonde van een echt kwaadaardige campagne.

Geacon Spread met behulp van twee afzonderlijke versies

Geacon bestaat in twee versies: een die exclusief is samengesteld voor Apple-Intel-architectuur, en een andere die ook Apple-silicium ondersteunt. Deze malware is compatibel met macOS-versies variërend van OS X 10.9 Mavericks tot de nieuwste releases.

Geacon beschikt over verschillende functionaliteiten, zoals communicatie en commando-ontvangst, spionage, gegevensdiefstal en de mogelijkheid om aanvullende kwaadaardige programma's of componenten te downloaden/installeren. Om effectief te kunnen werken, vereist deze kwaadaardige software dat de gebruiker beheerdersrechten verleent.

Bovendien vraagt Geacon toestemming om toegang te krijgen tot de camera, microfoon en diverse andere gegevens van het apparaat, zoals afbeeldingen, foto's en contacten. De controle van de malware over deze apparaatfuncties brengt het risico met zich mee dat video of audio wordt opgenomen, die mogelijk kan worden misbruikt voor kwaadaardige doeleinden, zoals chantage.

Hoe is het Mac-malwarelandschap de afgelopen jaren veranderd?

De afgelopen jaren is er een merkbare toename geweest in de frequentie van malware-aanvallen gericht op Mac-apparaten. Van oudsher bekend om hun robuuste beveiliging en lagere gevoeligheid voor virussen, hebben Mac-computers de reputatie relatief veilig te zijn voor schadelijke software.

Naarmate de populariteit van Macs echter blijft stijgen, hebben cybercriminelen het winstpotentieel ingezien en hebben ze hun focus verlegd naar het uitbuiten van kwetsbaarheden in het ecosysteem van Apple. Deze verschuiving heeft geresulteerd in een gestage toename van malware-aanvallen, variërend van adware en ransomware tot geavanceerde phishing-programma's die specifiek zijn toegesneden op Mac-gebruikers.

Als gevolg hiervan hebben Mac-gebruikers nu meer behoefte aan waakzaamheid en proactieve beveiligingsmaatregelen om hun apparaten en persoonlijke gegevens te beschermen tegen deze evoluerende bedreigingen.