Hacker haben damit begonnen, einen Fork des beliebten Tools für Cybersicherheit und Penetrationstests zu nutzen Kobaltschlag um Angriffe gegen Macs zu starten.
Laut a Blogeintrag (öffnet sich in neuem Tab) von der Cybersicherheitsfirma SentinelOneHacker nutzen nun Geacon, eine Go-basierte Implementierung von Cobalt Strike, um Macs anzugreifen, auf denen sowohl Intel- als auch Apple-eigene Chips laufen. Dies ist sinnvoll, da Hacker Cobalt Strike bereits seit Jahren nutzen, um Angriffe auf Windows-Systeme zu starten.
Geacon wurde erstmals vor vier Jahren auf GitHub hochgeladen, Hacker schenkten ihm damals jedoch keine große Aufmerksamkeit, heißt es BleepingComputer (öffnet sich in neuem Tab). Als jedoch anonyme chinesische Entwickler zwei Forks des Cybersicherheitstools auf der Code-Sharing-Site veröffentlichten, erregte es schließlich ihre Aufmerksamkeit.
Wenn Sie eines der verwenden beste MacBooks oder einem anderen Apple-Computer, müssen Sie beim Überprüfen Ihres Posteingangs besonders vorsichtig sein, da derzeit Angriffe verbreitet werden, die Geacon verwenden bösartige Anhänge.
Als Lebenslauf getarnte Geacon-Nutzlast
Bisher hat SentinelOne dank der Website zwei Fälle entdeckt, in denen Geacon in böswilliger Absicht eingesetzt wurde VirusTotal (öffnet sich in neuem Tab), mit dem verdächtige Dateien und Websites auf Malware analysiert werden.
Bei der ersten handelt es sich um eine AppleScript-Applet-Datei, die auf den ersten Blick wie ein Lebenslauf einer Person namens Xu Yiqing aussieht. Es soll bestätigen, dass es auf einem System mit macOS läuft, bevor es eine unsignierte „Geacon Plus“-Nutzlast von einem Befehls- und Kontrollsystem herunterlädt (C&C) Server mit Sitz in China.
SentinelOne stellt in seinem Bericht zu diesem Thema fest, dass dieser C&C-Server bereits zuvor bei Cobalt Strike-Angriffen auf Windows-PCs eingesetzt wurde. Die bei diesen Angriffen heruntergeladene bösartige Geacon-Nutzlast kann Daten verschlüsseln und entschlüsseln sowie zusätzliche Nutzlasten herunterladen und Daten von einem kompromittierten Mac exfiltrieren.
Bei der zweiten Nutzlast handelt es sich mittlerweile um eine trojanisierte Version der SecureLink-App, die für den sicheren Remote-Support verwendet wird. In diesem Fall wurde es jedoch in Geacon Pro umbenannt.
Nach dem Start fordert die App Zugriff auf die Kamera, das Mikrofon, die Kontakte, Fotos, Erinnerungen und sogar Administratorrechte eines Mac an. Obwohl die Aktivierung dieser Berechtigungen normalerweise als riskant gilt, bedeutet die Tatsache, dass sich diese bösartige App als SecureLink ausgibt, das von Apple selbst entwickelt wurde, dass ahnungslose Benutzer eher dazu neigen, diese invasiven Berechtigungen zu erteilen.
Mit Zugriff auf die Hardware und Daten eines Mac können Hacker den Opfern alle möglichen Informationen stehlen und sie sogar fotografieren und ausspionieren. Dies könnte zur Erpressung oder sogar zur Begehung von Taten genutzt werden Identitätsdiebstahl.
So schützen Sie sich vor Mac-Malware
Wenn es darum geht, sich vor Mac-Malware zu schützen, möchten Sie, genau wie unter Windows, vermeiden, Anhänge von unbekannten Absendern zu öffnen, wenn diese in Ihrem Posteingang eintreffen. Auch wenn eine Datei auf den ersten Blick harmlos erscheint, lässt sich nicht sagen, ob sie tatsächlich Schadsoftware verbirgt oder, wie in diesem Fall, mit einem von Hackern kontrollierten C&C-Server kommuniziert.
Auch wenn Macs mit Apples eigener Antivirensoftware in Form von ausgestattet sind XProtect und Gatekeeperkann die Installation einer der besten Mac-Antivirensoftwarelösungen auf Ihrem Mac zusätzlichen Schutz vor Malware und anderen Cyberangriffen bieten.
Da Hacker nun Geacon nutzen, um Macs anzugreifen, wird es in Zukunft wahrscheinlich weitere ähnliche Angriffe geben, die dieses Open-Source-Sicherheitstool nutzen. Hoffentlich stärkt Apple die Abwehrmaßnahmen von macOS, um besser vor ihnen zu schützen.