Geacon 惡意軟件以 Mac 為目標

Geacon 大約四年前出現在 Github 上，是使用 Go 編程語言實現的 Cobalt Strike Beacon。雖然它已被廣泛分叉，但 SentinelOne 直到最近才檢測到它針對 macOS 目標的部署。

我們對在 VirusTotal 上發現的有效負載的分析表明，流行趨勢轉向了由匿名中國開發人員開發的兩個 Geacon 分支，該開發人員的句柄為“z3ratu1”。在 2022 年 10 月下旬的一篇博文中，z3ratu1 提到在一次購物之旅中偶然發現了 Geacon 項目，引發了人們對其開髮指南的興趣。不久之後，第一個 Mach-O Geacon 有效載荷於同年 11 月 10 日提交給 VirusTotal。

到今年 4 月，z3ratu1 的公共項目 geacon_plus 和 geacon_pro（可能可以購買）獲得了近 1,000 顆星。這些項目被添加到 404 Starlink 項目中，這是一個由 Zhizhi 創宇實驗室維護的公共存儲庫，專門用於開源紅隊和滲透工具。同月，兩個不同的 Geacon 有效負載被提交給 VirusTotal，其中一個顯示出真正惡意活動的跡象。

Geacon 傳播使用兩個獨立的版本

Geacon 有兩個版本：一個專為 Apple-Intel 架構編譯，另一個也支持 Apple silicon。該惡意軟件與從 OS X 10.9 Mavericks 到最新版本的 macOS 版本兼容。

Geacon 具有多種功能，例如通信和命令接收、間諜活動、數據竊取以及下載/安裝其他惡意程序或組件的能力。為了有效運行，此惡意軟件需要用戶授予其管理員權限。

此外，Geacon 尋求訪問設備的攝像頭、麥克風和各種其他數據（如圖像、照片和聯繫人）的權限。惡意軟件對這些設備功能的控制帶來了錄製視頻或音頻的風險，這可能會被用於惡意目的，例如勒索。

近年來 Mac 惡意軟件格局發生了怎樣的變化

近年來，針對 Mac 設備的惡意軟件攻擊頻率明顯激增。 Mac 計算機歷來以其強大的安全性和較低的病毒易感性而聞名，享有相對安全免受惡意軟件攻擊的聲譽。

然而，隨著 Mac 的普及率不斷上升，網絡犯罪分子已經認識到其獲利潛力，並將重點轉移到利用 Apple 生態系統中的漏洞上。這種轉變導致惡意軟件攻擊穩步增加，從廣告軟件和勒索軟件到專門為 Mac 用戶量身定制的複雜網絡釣魚方案。

因此，Mac 用戶現在更加需要提高警惕並採取主動安全措施，以保護他們的設備和個人數據免受這些不斷演變的威脅。