Logiciel malveillant Geacon Mac

Selon les chercheurs en cybersécurité, le Geacon Malware est une implémentation de la balise Cobalt Strike, construite à l'aide du langage de programmation Go. La menace est devenue un puissant outil menaçant pour cibler les appareils macOS. Alors que Geacon et Cobalt Strike ont été initialement conçus comme des utilitaires légitimes utilisés par les organisations pour tester la sécurité de leur réseau par le biais d'attaques simulées, des acteurs malveillants les ont de plus en plus exploités pour diverses activités néfastes.

Pendant des années, les acteurs de la menace ont profité de Cobalt Strike pour compromettre les systèmes Windows, amenant l'industrie de la cybersécurité à lutter continuellement contre cette menace persistante. Cependant, l'augmentation récente de l'utilisation de Geacon met en évidence la portée croissante des attaques ciblant les appareils macOS. Cela signifie la nécessité d'une vigilance accrue et de mesures proactives pour contrer l'évolution des tactiques employées par les acteurs de la menace qui utilisent ces outils. Des détails sur le Geacon Malware et ses capacités nuisibles ont été publiés dans un rapport des chercheurs qui surveillaient l'activité de la menace.

Deux variantes du malware Geacon observées dans la nature

Le premier fichier associé à Geacon est une applet AppleScript nommée 'Xu Yiqing's Resume_20230320.app.' Son but est de vérifier qu'il fonctionne bien sur un système macOS. Une fois que cela a été confirmé, le fichier procède à la récupération d'une charge utile non signée connue sous le nom de "Geacon Plus" du serveur Command-and-Control (C2) des attaquants, qui a une adresse IP provenant de Chine.

L'adresse C2 spécifique (47.92.123.17) a déjà été liée aux attaques Cobalt Strike ciblant les machines Windows. Cette association suggère un lien potentiel ou une similitude entre l'infrastructure de l'attaque observée et les instances précédentes d'activité de Cobalt Strike.

Avant de lancer son « activité de balisage », la charge utile utilise une tactique trompeuse pour tromper les victimes en affichant un fichier PDF leurre. Le document affiché se fait passer pour un curriculum vitae appartenant à un individu nommé Xy Yiqing, visant à détourner l'attention de la victime des actions menaçantes que le logiciel malveillant effectue en arrière-plan.

Cette charge utile Geacon spécifique possède une gamme de capacités, notamment la prise en charge des communications réseau, l'exécution de fonctions de cryptage et de décryptage des données, la possibilité de télécharger des charges utiles supplémentaires et la facilitation de l'exfiltration des données du système compromis.

Le logiciel malveillant Geacon se cache à l'intérieur d'une application cheval de Troie

La deuxième charge utile Geacon Malware est déployée via SecureLink.app et SecureLink_Client, des versions modifiées de l'application SecureLink légitime utilisée pour une assistance à distance sécurisée. Cependant, cette version contenant un cheval de Troie inclut une copie du malware « Geacon Pro ». Cette charge utile particulière cible spécifiquement les systèmes Mac basés sur Intel exécutant OS X 10.9 (Mavericks) ou des versions ultérieures.

Au lancement de l'application, elle demande diverses autorisations, notamment l'accès à la caméra, au microphone, aux contacts, aux photos, aux rappels et même aux privilèges d'administrateur de l'ordinateur. Ces autorisations sont généralement protégées par le cadre de confidentialité Transparence, consentement et contrôle (TCC) d'Apple et leur octroi présente des risques importants.

Cependant, malgré le niveau de risque élevé associé à ces autorisations, elles ne sont pas si inhabituelles pour le type d'application que Geacon Malware se fait passer pour, atténuant les soupçons de l'utilisateur et l'incitant à accorder les autorisations demandées. Selon les informations disponibles, cette variante de Geacon Malware communique avec un serveur C2 situé au Japon, avec l'adresse IP 13.230.229.15.

Au cours des dernières années, il y a eu une augmentation notable des attaques de logiciels malveillants ciblant les appareils Mac. Cette augmentation peut être attribuée à la popularité croissante des ordinateurs Mac et à l'idée fausse qu'ils sont immunisés contre les logiciels malveillants. Les cybercriminels ont reconnu la valeur potentielle du ciblage des utilisateurs de Mac, ce qui a conduit au développement et au déploiement de logiciels malveillants plus sophistiqués et ciblés spécialement conçus pour les systèmes macOS. Naturellement, cela nécessite une vigilance accrue de la part des utilisateurs de Mac et la mise en œuvre de mesures de sécurité suffisantes pour protéger leurs appareils contre les infections par des logiciels malveillants.