Software malicioso Geacon Mac

Según los investigadores de ciberseguridad, Geacon Malware es una implementación de la baliza Cobalt Strike, construida con el lenguaje de programación Go. La amenaza se ha convertido en una potente herramienta amenazante para apuntar a dispositivos macOS. Si bien Geacon y Cobalt Strike se diseñaron originalmente como utilidades legítimas utilizadas por las organizaciones para probar la seguridad de su red a través de ataques simulados, los actores malintencionados las han explotado cada vez más para diversas actividades nefastas.

Durante años, los actores de amenazas se han aprovechado de Cobalt Strike para comprometer los sistemas de Windows, lo que ha llevado a la industria de la ciberseguridad a combatir continuamente esta amenaza persistente. Sin embargo, el reciente aumento en el uso de Geacon destaca el alcance cada vez mayor de los ataques dirigidos a dispositivos macOS. Esto significa la necesidad de una mayor vigilancia y medidas proactivas para contrarrestar las tácticas en evolución empleadas por los actores de amenazas que aprovechan estas herramientas. Los detalles sobre Geacon Malware y sus capacidades dañinas fueron publicados en un informe de los investigadores que han estado monitoreando la actividad de la amenaza.

Dos variantes del malware Geacon observadas en la naturaleza

El primer archivo asociado con Geacon es un subprograma AppleScript llamado 'Xu Yiqing's Resume_20230320.app'. Su propósito es verificar que efectivamente se está ejecutando en un sistema macOS. Una vez que esto se ha confirmado, el archivo procede a recuperar una carga no firmada conocida como 'Geacon Plus' del servidor de comando y control (C2) de los atacantes, que tiene una dirección IP que se origina en China.

La dirección C2 específica (47.92.123.17) se vinculó previamente a ataques de Cobalt Strike dirigidos a máquinas con Windows. Esta asociación sugiere una posible conexión o similitud entre la infraestructura del ataque observado y las instancias anteriores de actividad de Cobalt Strike.

Antes de iniciar su 'actividad de balizamiento', la carga útil emplea una táctica engañosa para engañar a las víctimas mostrando un archivo PDF señuelo. El documento mostrado se hace pasar por un currículum perteneciente a un individuo llamado Xy Yiqing, con el objetivo de desviar la atención de la víctima de las acciones amenazantes que el malware está realizando en segundo plano.

Esta carga útil específica de Geacon posee una gama de capacidades, que incluyen admitir comunicaciones de red, realizar funciones de cifrado y descifrado de datos, permitir la descarga de cargas útiles adicionales y facilitar la filtración de datos del sistema comprometido.

El malware Geacon escondido dentro de una aplicación troyana

La segunda carga útil de Geacon Malware se implementa a través de SecureLink.app y SecureLink_Client, versiones modificadas de la aplicación legítima de SecureLink utilizada para soporte remoto seguro. Sin embargo, esta versión troyanizada incluye una copia del malware 'Geacon Pro'. Esta carga útil en particular se dirige específicamente a los sistemas Mac basados en Intel que ejecutan OS X 10.9 (Mavericks) o versiones posteriores.

Al iniciar la aplicación, solicita varios permisos, incluido el acceso a la cámara, el micrófono, los contactos, las fotos, los recordatorios e incluso los privilegios de administrador de la computadora. Estos permisos generalmente están protegidos por el marco de privacidad de Transparencia, Consentimiento y Control (TCC) de Apple y otorgarlos presenta riesgos significativos.

Sin embargo, a pesar del alto nivel de riesgo asociado con estos permisos, no son tan inusuales para el tipo de aplicación que se hace pasar por Geacon Malware, aliviando las sospechas del usuario y engañándolos para que concedan los permisos solicitados. Según la información disponible, esta variante de Geacon Malware se comunica con un servidor C2 ubicado en Japón, con la dirección IP 13.230.229.15.

En los últimos años, ha habido un aumento notable en los ataques de malware dirigidos a dispositivos Mac. Este aumento se puede atribuir a la creciente popularidad de las computadoras Mac y la idea errónea de que son inmunes al malware. Los ciberdelincuentes han reconocido el valor potencial de atacar a los usuarios de Mac, lo que lleva al desarrollo y despliegue de malware más sofisticado y dirigido específicamente diseñado para los sistemas macOS. Naturalmente, esto requiere una mayor vigilancia por parte de los usuarios de Mac y la implementación de suficientes medidas de seguridad para proteger sus dispositivos de infecciones de malware.