Złośliwe oprogramowanie Geacon atakuje komputery Mac

Geacon pojawił się na Githubie około cztery lata temu jako implementacja Cobalt Strike Beacon przy użyciu języka programowania Go. Chociaż był szeroko rozwidlony, SentinelOne do niedawna nie wykrył jego wdrożenia przeciwko celom macOS.

Nasza analiza ładunków znalezionych w VirusTotal wskazuje na zmianę popularności w kierunku dwóch widelców Geacon opracowanych przez anonimowego chińskiego programistę, który działa pod pseudonimem „z3ratu1”. W poście na blogu z końca października 2022 r. z3ratu1 wspomniał o natknięciu się na projekt Geacon podczas zakupów, co wzbudziło zainteresowanie jego przewodnikiem po rozwoju. Wkrótce potem pierwszy ładunek Mach-O Geacon został przesłany do VirusTotal 10 listopada tego samego roku.

Do kwietnia tego roku publiczne projekty z3ratu1, geacon_plus i geacon_pro (które potencjalnie można kupić), zgromadziły prawie 1000 gwiazdek. Projekty te zostały dodane do projektu 404 Starlink, publicznego repozytorium prowadzonego przez Laboratorium Zhizhi Chuangyu, poświęconego narzędziom open source do red-team i penetracji. W tym samym miesiącu do VirusTotal przesłano dwa różne ładunki Geacon, z których jeden wykazywał oznaki prawdziwie złośliwej kampanii.

Rozprzestrzenianie się Geacon przy użyciu dwóch oddzielnych wersji

Geacon istnieje w dwóch wersjach: jedna skompilowana wyłącznie dla architektury Apple-Intel, a druga obsługuje również krzem Apple. To złośliwe oprogramowanie jest kompatybilne z wersjami systemu macOS od OS X 10.9 Mavericks do najnowszych wersji.

Geacon posiada różne funkcje, takie jak komunikacja i odbieranie poleceń, szpiegostwo, kradzież danych oraz możliwość pobierania/instalowania dodatkowych złośliwych programów lub komponentów. Aby skutecznie działać, to złośliwe oprogramowanie wymaga od użytkownika nadania mu uprawnień administratora.

Ponadto Geacon prosi o pozwolenie na dostęp do kamery urządzenia, mikrofonu i różnych innych danych, takich jak obrazy, zdjęcia i kontakty. Kontrola złośliwego oprogramowania nad tymi funkcjami urządzenia wiąże się z ryzykiem nagrywania obrazu lub dźwięku, które mogą zostać potencjalnie wykorzystane do niecnych celów, takich jak szantaż.

Jak zmienił się krajobraz złośliwego oprogramowania Mac w ostatnich latach

W ostatnich latach nastąpił zauważalny wzrost częstotliwości ataków złośliwego oprogramowania na urządzenia Mac. Znane w przeszłości ze swoich solidnych zabezpieczeń i mniejszej podatności na wirusy, komputery Mac cieszyły się reputacją stosunkowo bezpiecznych przed złośliwym oprogramowaniem.

Jednak wraz ze wzrostem popularności komputerów Mac cyberprzestępcy dostrzegli potencjał zysku i skupili się na wykorzystywaniu luk w ekosystemie Apple. Ta zmiana zaowocowała stałym wzrostem liczby ataków złośliwego oprogramowania, począwszy od oprogramowania typu adware i ransomware, a skończywszy na wyrafinowanych programach phishingowych specjalnie dostosowanych do użytkowników komputerów Mac.

W rezultacie użytkownicy komputerów Mac muszą teraz zachować czujność i proaktywne środki bezpieczeństwa, aby chronić swoje urządzenia i dane osobowe przed tymi ewoluującymi zagrożeniami.