Geacon 恶意软件以 Mac 为目标

Geacon 大约四年前出现在 Github 上，是使用 Go 编程语言实现的 Cobalt Strike Beacon。虽然它已被广泛分叉，但 SentinelOne 直到最近才检测到它针对 macOS 目标的部署。

我们对在 VirusTotal 上发现的有效负载的分析表明，流行趋势转向了由匿名中国开发人员开发的两个 Geacon 分支，该开发人员的句柄为“z3ratu1”。在 2022 年 10 月下旬的一篇博文中，z3ratu1 提到在一次购物之旅中偶然发现了 Geacon 项目，引发了人们对其开发指南的兴趣。不久之后，第一个 Mach-O Geacon 有效载荷于同年 11 月 10 日提交给 VirusTotal。

到今年 4 月，z3ratu1 的公共项目 geacon_plus 和 geacon_pro（可能可以购买）获得了近 1,000 颗星。这些项目被添加到 404 Starlink 项目中，这是一个由 Zhizhi 创宇实验室维护的公共存储库，专门用于开源红队和渗透工具。同月，两个不同的 Geacon 有效负载被提交给 VirusTotal，其中一个显示出真正恶意活动的迹象。

Geacon 传播使用两个独立的版本

Geacon 有两个版本：一个专为 Apple-Intel 架构编译，另一个也支持 Apple silicon。该恶意软件与从 OS X 10.9 Mavericks 到最新版本的 macOS 版本兼容。

Geacon 具有多种功能，例如通信和命令接收、间谍活动、数据窃取以及下载/安装其他恶意程序或组件的能力。为了有效运行，此恶意软件需要用户授予其管理员权限。

此外，Geacon 寻求访问设备的摄像头、麦克风和各种其他数据（如图像、照片和联系人）的权限。恶意软件对这些设备功能的控制带来了录制视频或音频的风险，这可能会被用于恶意目的，例如勒索。

近年来 Mac 恶意软件格局发生了怎样的变化

近年来，针对 Mac 设备的恶意软件攻击频率明显激增。 Mac 计算机历来以其强大的安全性和较低的病毒易感性而闻名，享有相对安全免受恶意软件攻击的声誉。

然而，随着 Mac 的普及率不断上升，网络犯罪分子已经认识到其获利潜力，并将重点转移到利用 Apple 生态系统中的漏洞上。这种转变导致恶意软件攻击稳步增加，从广告软件和勒索软件到专门为 Mac 用户量身定制的复杂网络钓鱼方案。

因此，Mac 用户现在更加需要提高警惕并采取主动安全措施，以保护他们的设备和个人数据免受这些不断演变的威胁。