Geacon Mac-Malware

Laut Cybersicherheitsforschern handelt es sich bei der Geacon-Malware um eine Implementierung des Cobalt Strike-Beacons, die mit der Programmiersprache Go erstellt wurde. Die Bedrohung hat sich als wirksames Bedrohungstool für die Angriffe auf macOS-Geräte herausgestellt. Während Geacon und Cobalt Strike ursprünglich als legitime Dienstprogramme konzipiert waren, mit denen Organisationen ihre Netzwerksicherheit durch simulierte Angriffe testen konnten, werden sie zunehmend von böswilligen Akteuren für verschiedene schändliche Aktivitäten ausgenutzt.

Seit Jahren nutzen Bedrohungsakteure Cobalt Strike aus, um Windows-Systeme zu kompromittieren, was die Cybersicherheitsbranche dazu veranlasst, diese anhaltende Bedrohung kontinuierlich zu bekämpfen. Der jüngste Anstieg der Nutzung von Geacon verdeutlicht jedoch das wachsende Ausmaß von Angriffen auf macOS-Geräte. Dies bedeutet, dass erhöhte Wachsamkeit und proaktive Maßnahmen erforderlich sind, um den sich entwickelnden Taktiken entgegenzuwirken, die von Bedrohungsakteuren eingesetzt werden, die diese Tools nutzen. Einzelheiten zur Geacon-Malware und ihren schädlichen Fähigkeiten wurden in einem Bericht der Forscher veröffentlicht, die die Aktivitäten der Bedrohung überwacht haben.

Zwei in freier Wildbahn beobachtete Varianten der Geacon-Malware

Die erste mit Geacon verknüpfte Datei ist ein AppleScript-Applet mit dem Namen „Xu Yiqing's Resume_20230320.app“. Sein Zweck besteht darin, zu überprüfen, ob es tatsächlich auf einem macOS-System läuft. Sobald dies bestätigt wurde, ruft die Datei eine unsignierte Nutzlast namens „Geacon Plus“ vom Command-and-Control-Server (C2) des Angreifers ab, dessen IP-Adresse aus China stammt.

Die spezifische C2-Adresse (47.92.123.17) wurde zuvor mit Cobalt Strike-Angriffen auf Windows-Rechner in Verbindung gebracht. Dieser Zusammenhang deutet auf einen möglichen Zusammenhang oder eine Ähnlichkeit zwischen der Infrastruktur des beobachteten Angriffs und früheren Fällen von Cobalt Strike-Aktivitäten hin.

Bevor die Nutzlast ihre „Beaconing-Aktivität“ einleitet, wendet sie eine betrügerische Taktik an, um Opfer durch die Anzeige einer lockenden PDF-Datei in die Irre zu führen. Das angezeigte Dokument gibt sich als Lebenslauf einer Person namens Xy Yiqing aus und soll die Aufmerksamkeit des Opfers von den bedrohlichen Aktionen ablenken, die die Malware im Hintergrund ausführt.

Diese spezielle Geacon-Nutzlast verfügt über eine Reihe von Funktionen, darunter die Unterstützung der Netzwerkkommunikation, die Durchführung von Datenverschlüsselungs- und -entschlüsselungsfunktionen, die Möglichkeit zum Herunterladen zusätzlicher Nutzlasten und die Erleichterung der Datenexfiltration aus dem kompromittierten System.

Die Geacon-Malware versteckt sich in einer trojanisierten Anwendung

Die zweite Geacon-Malware-Payload wird über SecureLink.app und SecureLink_Client bereitgestellt, modifizierte Versionen der legitimen SecureLink-Anwendung, die für den sicheren Remote-Support verwendet wird. Diese trojanisierte Version enthält jedoch eine Kopie der Malware „Geacon Pro“. Diese spezielle Nutzlast zielt speziell auf Intel-basierte Mac-Systeme ab, auf denen OS X 10.9 (Mavericks) oder spätere Versionen ausgeführt werden.

Beim Starten der Anwendung werden verschiedene Berechtigungen angefordert, darunter Zugriff auf die Kamera, das Mikrofon, Kontakte, Fotos, Erinnerungen und sogar Administratorrechte des Computers. Diese Berechtigungen sind in der Regel durch das Datenschutz-Framework „Transparency, Consent, and Control“ (TCC) von Apple geschützt und ihre Gewährung birgt erhebliche Risiken.

Doch trotz des mit diesen Berechtigungen verbundenen hohen Risikos sind sie für die Art der Anwendung, als die sich die Geacon-Malware ausgibt, nicht ungewöhnlich, was den Verdacht des Benutzers zerstreut und ihn dazu verleitet, die angeforderten Berechtigungen zu erteilen. Den vorliegenden Informationen zufolge kommuniziert diese Geacon-Malware-Variante mit einem C2-Server in Japan mit der IP-Adresse 13.230.229.15.

In den letzten Jahren ist ein spürbarer Anstieg von Malware-Angriffen auf Mac-Geräte zu verzeichnen. Dieser Anstieg ist auf die wachsende Beliebtheit von Mac-Computern und den Irrglauben zurückzuführen, dass diese immun gegen Malware seien. Cyberkriminelle haben den potenziellen Wert erkannt, der darin besteht, Mac-Benutzer ins Visier zu nehmen, was zur Entwicklung und Bereitstellung ausgefeilterer und gezielterer Malware geführt hat, die speziell für macOS-Systeme entwickelt wurde. Dies erfordert natürlich eine erhöhte Wachsamkeit von Mac-Benutzern und die Implementierung ausreichender Sicherheitsmaßnahmen, um ihre Geräte vor Malware-Infektionen zu schützen.