Geacon Malware riktar sig till Mac-datorer

Geacon dök upp på Github för ungefär fyra år sedan som en implementering av Cobalt Strike Beacon med hjälp av programmeringsspråket Go. Även om det hade blivit mycket kluven, hade SentinelOne inte upptäckt dess utplacering mot macOS-mål förrän nyligen.

Vår analys av nyttolasten som hittats på VirusTotal indikerar en förskjutning i popularitet mot två Geacon-gafflar utvecklade av en anonym kinesisk utvecklare som går efter handtaget "z3ratu1." I ett blogginlägg från slutet av oktober 2022 nämnde z3ratu1 att han snubblade över Geacon-projektet under en shoppingresa, vilket väckte intresse för dess utvecklingsguide. Strax efter skickades den första Mach-O Geacon nyttolasten till VirusTotal den 10 november samma år.

I april i år hade z3ratu1s offentliga projekt, geacon_plus och geacon_pro (som eventuellt kan köpas), fått nästan 1 000 stjärnor. Dessa projekt lades till 404 Starlink-projektet, ett offentligt arkiv som underhålls av Zhizhi Chuangyu Laboratory, dedikerat till öppen källkod för red-team och penetrationsverktyg. Under samma månad skickades två distinkta Geacon-nyttolaster till VirusTotal, varav en visade tecken på en genuint skadlig kampanj.

Geacon-spridning med två separata versioner

Geacon finns i två versioner: en kompilerad exklusivt för Apple-Intel-arkitektur, och en annan som också stöder Apple silicon. Denna skadliga programvara är kompatibel med macOS-versioner från OS X 10.9 Mavericks upp till de senaste utgåvorna.

Geacon besitter olika funktioner, såsom kommunikation och kommandomottagning, spionage, datastöld och möjligheten att ladda ner/installera ytterligare skadliga program eller komponenter. För att fungera effektivt kräver denna skadliga programvara att användaren ger den administratörsrättigheter.

Dessutom söker Geacon tillstånd att komma åt enhetens kamera, mikrofon och diverse andra data som bilder, foton och kontakter. Skadlig programvaras kontroll över dessa enhetsfunktioner innebär en risk för inspelning av video eller ljud, som potentiellt kan utnyttjas för skändliga syften, såsom utpressning.

Hur har Mac Malware-landskapet förändrats under de senaste åren

Under de senaste åren har det skett en märkbar ökning av frekvensen av skadliga attacker mot Mac-enheter. Historiskt kända för sin robusta säkerhet och lägre känslighet för virus, har Mac-datorer haft ett rykte om sig att vara relativt säkra från skadlig programvara.

Men eftersom populariteten för Mac-datorer fortsätter att öka har cyberbrottslingar insett vinstpotentialen och har flyttat fokus mot att utnyttja sårbarheter i Apples ekosystem. Denna förändring har resulterat i en stadig ökning av attacker med skadlig programvara, allt från adware och ransomware till sofistikerade nätfiskesystem som är speciellt anpassade för Mac-användare.

Som ett resultat av detta möter Mac-användare nu ett ökat behov av vaksamhet och proaktiva säkerhetsåtgärder för att skydda sina enheter och personliga data från dessa föränderliga hot.