Banshee Stealer je skrivena prijetnja rastućem broju korisnika macOS-a širom svijeta, uključujući one u zemljama ruskog govornog područja, prema istraživaču Check Pointa Antonisu Terefosu.
Banshee Stealer je prvi put javno profilisan u avgustu 2024. godine, mesec dana nakon što je programer počeo da ga prodaje kao uslugu po visokoj ceni od 3.000 dolara mesečno.
Malicioyni softver može funkcionisati na macOS x86_64 i ARM64 arhitekturi i može uhvatiti/ukrasti krendicijale i kolačiće pohranjene u popularnim preglednicima i ekstenzijama preglednika za novčanike kriptovaluta i autentifikaciju u 2 faktora, kao i korisničku macOS lozinku kako bi mogao zgrabiti osjetljive podaci pohranjeni u sistemskom privjesku za ključeve.
U početku, maliciozni softver je napravljen kako bi se izbjeglo zaraza sistema u kojima je ruski primarni jezik, ali prema Terefos-u, postoji varijanta bez provjere ruskog jezika sada se također gura potencijalnim žrtvama.
Evolucija maliciozni softvera i curenje izvornog koda
„Od jula do novembra, Bansheejev autor je upravljao uslugom za krađu na Telegramu i na mračnim web forumima kao što su XSS i Exploit i nastavio da poboljšava malver. Za to vrijeme, autor je unajmio dva člana da sprovode kampanje usmjerene na korisnike macOS-a”, objasnio je.
Ali onda je izvorni kod malicipznih softvera procurio na internet krajem novembra, a pojedinac ili grupa iza njega zatvorili su svoje operacije.
Prije toga, programer je povećao prikrivenost kradljivaca uvođenjem string enkripcije koju koristi XProtect, macOS-ov anti-malware motor koji otkriva poznati maliciozni softver i varijante. I trik je radio više od dva mjeseca – sve dok curenje izvornog koda nije dovelo do bolje detekcije od strane antivirusnih mehanizama.
“Hakeru distribuirali su ovu novu verziju uglavnom putem phishing web stranica i malicioznih GitHub repozitorija . U nekim GitHub kampanjama, akteri prijetnji su ciljali i korisnike Windowsa i macOS-a s Lumma i Banshee Stealer-om,” kaže Terefos.
Ali čak i nakon curenja, prijetnja i dalje postoji: Check Point je identifikovao više kampanja koje i dalje distribuiraju maliciozni softver putem phishing web stranica, navodno nudeći popularni softver (Telegram, TradingView, Parallels, itd.) za preuzimanje.
Stranica za krađu identiteta koja cilja macOS (Izvor: Check Point Research)
“Na koji način žrtva dolazi na phishing web stranicu trenutno nije jasno; međutim, korisnici koji žele da preuzmu krekovane alate ili alate iz nelegitimnih izvora su meta takvih napada. Pronađene su slične phishing web stranice koje distribuiraju stalno ažurirane .dmg datoteke”, dodao je Terefos .
“Nejasno je da li preostale kampanje potječu od prethodnih kupaca ili kreator Bansheea kontinuirano ažurira izvorni kod i koristi zlonamjerni softver kao dio privatne grupe angažirane u XSS-u za vođenje macOS kampanja.”
Ali s procurelim izvornim kodom, postoji bojazan da će drugi programeri malicioznog softvera bazirati nove kradljivce macOS-a na Bansheeju. Sa preko 100 miliona korisnika macOS-a, skup potencijalnih ciljeva je značajan i svakako primamljiv.
Izvor:Help Net Security
