Вредоносное ПО Geacon нацелено на Mac

Geacon появился на Github около четырех лет назад как реализация Cobalt Strike Beacon с использованием языка программирования Go. Несмотря на то, что он был широко разветвлен, SentinelOne до недавнего времени не обнаруживал его развертывания против целей macOS.

Наш анализ полезной нагрузки, найденной на VirusTotal, указывает на сдвиг популярности в сторону двух форков Geacon, разработанных анонимным китайским разработчиком под ником «z3ratu1». В сообщении в блоге от конца октября 2022 года z3ratu1 упомянул, что наткнулся на проект Geacon во время похода по магазинам, что вызвало интерес к его руководству по разработке. Вскоре после этого первая полезная нагрузка Mach-O Geacon была отправлена на VirusTotal 10 ноября того же года.

К апрелю этого года публичные проекты z3ratu1, geacon_plus и geacon_pro (которые потенциально могут быть доступны для покупки), набрали почти 1000 звезд. Эти проекты были добавлены в проект 404 Starlink, общедоступный репозиторий, поддерживаемый лабораторией Zhizhi Chuangyu, посвященный инструментам Red Team и проникновения с открытым исходным кодом. В том же месяце в VirusTotal были отправлены две разные полезные нагрузки Geacon, одна из которых имела признаки действительно вредоносной кампании.

Распространение Geacon с использованием двух отдельных версий

Geacon существует в двух версиях: одна скомпилирована исключительно для архитектуры Apple-Intel, а другая также поддерживает Apple Silicon. Это вредоносное ПО совместимо с версиями macOS, начиная с OS X 10.9 Mavericks и заканчивая последними выпусками.

Geacon обладает различными функциями, такими как связь и прием команд, шпионаж, кража данных, а также возможность загрузки/установки дополнительных вредоносных программ или компонентов. Для эффективной работы это вредоносное ПО требует, чтобы пользователь предоставил ему права администратора.

Кроме того, Geacon запрашивает разрешение на доступ к камере устройства, микрофону и различным другим данным, таким как изображения, фотографии и контакты. Контроль вредоносной программы над этими функциями устройства создает риск записи видео или аудио, которые потенциально могут быть использованы в гнусных целях, таких как шантаж.

Как изменился ландшафт вредоносных программ для Mac за последние годы

В последние годы наблюдается заметный всплеск частоты атак вредоносных программ, нацеленных на устройства Mac. Исторически известные своей надежной защитой и меньшей восприимчивостью к вирусам, компьютеры Mac пользуются репутацией относительно защищенных от вредоносных программ.

Однако по мере того, как популярность компьютеров Mac продолжает расти, киберпреступники осознали возможность получения прибыли и переключили свое внимание на использование уязвимостей в экосистеме Apple. Этот сдвиг привел к неуклонному увеличению атак вредоносных программ, начиная от рекламного ПО и программ-вымогателей и заканчивая изощренными схемами фишинга, специально разработанными для пользователей Mac.

В результате пользователи Mac теперь сталкиваются с повышенной потребностью в бдительности и упреждающих мерах безопасности для защиты своих устройств и личных данных от этих постоянно меняющихся угроз.