Les pirates ont commencé à utiliser un fork de l’outil populaire de test de cybersécurité et de pénétration Frappe de cobalt pour lancer des attaques contre les Mac.
Selon un article de blog (s’ouvre dans un nouvel onglet) de la firme de cybersécurité SentinelleUn, les pirates utilisent désormais Geacon qui est une implémentation basée sur Go de Cobalt Strike pour cibler les Mac exécutant à la fois Intel et les propres puces d’Apple. Cela a du sens car les pirates utilisent Cobalt Strike pour lancer des attaques contre les systèmes Windows depuis des années.
D’abord téléchargé sur GitHub il y a quatre ans, les pirates n’ont pas prêté beaucoup d’attention à Geacon à l’époque, dit BipOrdinateur (s’ouvre dans un nouvel onglet). Cependant, lorsque des développeurs chinois anonymes ont publié deux forks de l’outil de cybersécurité sur le site de partage de code, cela a finalement attiré leur attention.
Si vous utilisez l’un des meilleurs MacBook ou un autre ordinateur Apple, vous devez être très prudent lorsque vous vérifiez votre boîte de réception car les attaques qui utilisent Geacon sont actuellement propagées pièces jointes malveillantes.
Charge utile Geacon déguisée en CV
Jusqu’à présent, SentinelOne a découvert deux cas de déploiement malveillant de Geacon grâce au site VirusTotal (s’ouvre dans un nouvel onglet), qui est utilisé pour analyser les fichiers et sites Web suspects à la recherche de logiciels malveillants.
Le premier est un fichier d’applet AppleScript qui, à première vue, semble être un CV appartenant à une personne nommée Xu Yiqing. Il est conçu pour confirmer qu’il s’exécute sur un système exécutant macOS avant de télécharger une charge utile ‘Geacon Plus’ non signée à partir d’une commande et d’un contrôle (C&C) serveur situé en Chine.
SentinelOne note dans son rapport à ce sujet que ce serveur C&C a déjà été utilisé dans des attaques Cobalt Strike ciblant les PC Windows. La charge utile Geacon malveillante téléchargée lors de ces attaques peut chiffrer et déchiffrer les données, ainsi que télécharger des charges utiles supplémentaires et exfiltrer les données d’un Mac compromis.
Pendant ce temps, la deuxième charge utile est une version trojanisée de l’application SecureLink qui est utilisée pour une assistance à distance sécurisée. Cependant, dans ce cas, il a été renommé Geacon Pro.
Une fois lancée, l’application demande l’accès à l’appareil photo, au microphone, aux contacts, aux photos, aux rappels et même aux privilèges d’administrateur d’un Mac. Bien que celles-ci soient généralement considérées comme des autorisations risquées à activer, le fait que cette application malveillante se fasse passer pour SecureLink, qui est faite par Apple elle-même, signifie que les utilisateurs peu méfiants sont plus susceptibles d’accorder ces autorisations invasives.
Avec l’accès au matériel et aux données d’un Mac, les pirates peuvent voler toutes sortes d’informations aux victimes et ils peuvent même prendre des photos et les espionner. Cela pourrait être utilisé pour le chantage ou même pour commettre vol d’identité.
Comment rester à l’abri des logiciels malveillants Mac
Lorsqu’il s’agit de rester à l’abri des logiciels malveillants Mac, tout comme sur Windows, vous souhaitez éviter d’ouvrir les pièces jointes d’expéditeurs inconnus lorsqu’elles arrivent dans votre boîte de réception. Bien qu’un fichier puisse sembler inoffensif au premier abord, on ne sait pas s’il cache réellement un logiciel malveillant ou, comme dans ce cas, s’il peut communiquer avec un serveur C&C contrôlé par un pirate.
Même si les Mac sont livrés avec le logiciel antivirus d’Apple sous la forme de XProtect et Gatekeeperl’installation de l’une des meilleures solutions logicielles antivirus Mac sur votre Mac peut fournir une protection supplémentaire contre les logiciels malveillants et autres cyberattaques.
Maintenant que les pirates utilisent Geacon pour cibler les Mac, il y aura probablement d’autres attaques similaires tirant parti de cet outil de sécurité open source à l’avenir. Espérons qu’Apple renforce les défenses de macOS pour mieux s’en protéger.