Geacon 惡意軟件以 Mac 為目標
Geacon 大約四年前出現在 Github 上,是使用 Go 編程語言實現的 Cobalt Strike Beacon。雖然它已被廣泛分叉,但 SentinelOne 直到最近才檢測到它針對 macOS 目標的部署。
我們對在 VirusTotal 上發現的有效負載的分析表明,流行趨勢轉向了由匿名中國開發人員開發的兩個 Geacon 分支,該開發人員的句柄為“z3ratu1”。在 2022 年 10 月下旬的一篇博文中,z3ratu1 提到在一次購物之旅中偶然發現了 Geacon 項目,引發了人們對其開髮指南的興趣。不久之後,第一個 Mach-O Geacon 有效載荷於同年 11 月 10 日提交給 VirusTotal。
到今年 4 月,z3ratu1 的公共項目 geacon_plus 和 geacon_pro(可能可以購買)獲得了近 1,000 顆星。這些項目被添加到 404 Starlink 項目中,這是一個由 Zhizhi 創宇實驗室維護的公共存儲庫,專門用於開源紅隊和滲透工具。同月,兩個不同的 Geacon 有效負載被提交給 VirusTotal,其中一個顯示出真正惡意活動的跡象。
Geacon 傳播使用兩個獨立的版本
Geacon 有兩個版本:一個專為 Apple-Intel 架構編譯,另一個也支持 Apple silicon。該惡意軟件與從 OS X 10.9 Mavericks 到最新版本的 macOS 版本兼容。
Geacon 具有多種功能,例如通信和命令接收、間諜活動、數據竊取以及下載/安裝其他惡意程序或組件的能力。為了有效運行,此惡意軟件需要用戶授予其管理員權限。
此外,Geacon 尋求訪問設備的攝像頭、麥克風和各種其他數據(如圖像、照片和聯繫人)的權限。惡意軟件對這些設備功能的控制帶來了錄製視頻或音頻的風險,這可能會被用於惡意目的,例如勒索。
近年來 Mac 惡意軟件格局發生了怎樣的變化
近年來,針對 Mac 設備的惡意軟件攻擊頻率明顯激增。 Mac 計算機歷來以其強大的安全性和較低的病毒易感性而聞名,享有相對安全免受惡意軟件攻擊的聲譽。
然而,隨著 Mac 的普及率不斷上升,網絡犯罪分子已經認識到其獲利潛力,並將重點轉移到利用 Apple 生態系統中的漏洞上。這種轉變導致惡意軟件攻擊穩步增加,從廣告軟件和勒索軟件到專門為 Mac 用戶量身定制的複雜網絡釣魚方案。
因此,Mac 用戶現在更加需要提高警惕並採取主動安全措施,以保護他們的設備和個人數據免受這些不斷演變的威脅。