Banshee 2.0 恶意软件是一种针对 macOS 的信息窃取程序,它通过采用源自 Apple XProtect 防病毒产品的加密机制来逃避防病毒检测。自 7 月份推出以来,该变种主要通过俄罗斯网络犯罪市场传播。
Banshee 2.0 恶意软件使用 Apple 的加密来逃避检测
Banshee 2.0 恶意软件的“窃取者即服务”售价为 1,500 美元,旨在窃取各种浏览器的凭据,包括 Google Chrome、Brave、Microsoft Edge、Vivaldi、Yandex 和 Opera,以及加密货币钱包的浏览器扩展,例如Ledger、Atomic、Wasabi、Guarda、Coinomi、Electrum 和 Exodus。它还收集其他系统信息,例如软件和硬件规格以及解锁系统所需的 macOS 密码。
Banshee 的初始版本由于其明文包装而经常被防病毒软件检测到。然而,一个更强大的变种在 9 月 26 日出现,利用与苹果 Xprotect 防病毒工具相同的加密算法,使其能够逃避检测近两个月。检查点研究 成立 虽然 VirusTotal 中的大多数防病毒解决方案都标记了初始的明文 Banshee 样本,但新加密的版本并未被大约 65 个防病毒引擎注意到。
尽管 Check Point 的逆向工程师 Antonis Terefos 推测恶意软件作者(称为“0xe1”或“kolosain”)可能对 XProtect 二进制文件进行了逆向工程或访问了相关出版物,但加密技术的来源仍不清楚。这种新发现的加密技术使 Banshee 能够有效地隐藏其功能。
“他们可能对 XProtect 二进制文件进行了逆向工程,甚至阅读了相关出版物,但我们无法证实。一旦 macOS XProtect 的字符串加密为人所知(这意味着防病毒软件存储 YARA 规则的方式是经过逆向工程的),威胁行为者就可以轻松“重新实现”字符串加密以达到恶意目的。”Check Point Research 的逆向工程师 Antonis Terefos 说道。索赔。
活动和分发方法
自 9 月底以来,Check Point Research 已跟踪超过 26 个利用 Banshee 的活动,分为两大类。第一组包括从 10 月中旬到 11 月初蓬勃发展的 GitHub 存储库活动,推广流行软件的破解版本以及隐藏在“Setup”、“Installer”和“Update”等通用文件名下的 Banshee 恶意软件。这些存储库还针对使用 Lumma Stealer 的 Windows 用户。
第二类涉及钓鱼网站,攻击者将 Banshee 2.0 伪装成流行软件,包括 谷歌浏览器、TradingView、Zegent、Parallels、Solara、CryptoNews、MediaKIT 和 Telegram。 macOS 上的用户被引导至恶意负载的下载链接。
11月23日,Banshee的源代码在俄罗斯暗网论坛XSS上泄露,促使其作者停止运营。尽管发生了泄露,Check Point 仍持续观察到通过伪装成合法软件的网络钓鱼方法分发 Banshee 的持续活动,强调该恶意软件对 macOS 用户的持续威胁。
Banshee 2.0 恶意软件的成功说明了针对 macOS 的网络安全威胁不断演变的情况,强调了用户对潜在恶意软件和网络钓鱼攻击保持警惕的必要性,因为他们越来越成为复杂网络犯罪策略的目标。
特色图片来源: 凯雷姆·葛兰/中途
