一种Banshee macOS信息窃取器的变种被发现通过复制苹果内部算法的新字符串加密技术来欺骗检测系统。
Check Point的一项研究在成功逃避检测两个月后捕捉到了该变种,该研究表示,威胁行为者通过钓鱼网站和假冒的GitHub仓库分发Banshee,经常冒充Google Chrome、Telegram和TradingView等流行软件。
Menlo Security的网络安全专家Ngoc Bui表示,这种新变种凸显了Mac安全方面的重大漏洞。“虽然企业越来越多地采用苹果生态系统,但安全工具却未能跟上步伐,”他说,“即使在Mac上,领先的端点检测与响应(EDR)解决方案也存在局限,导致企业存在显著的盲点,我们需要采取多层次的安全方法,包括在Mac环境中培训更多的安全猎手。”
该恶意软件以窃取浏览器凭据、加密货币钱包和其他敏感数据而闻名。
利用苹果自己的技术来对抗苹果
CheckPoint研究人员发现,新的Banshee变种使用了从苹果XProtect引擎中“窃取”的字符串加密算法,这可能使其能够逃避检测超过两个月。
与原始版本中使用明文字符串不同,新变种复制了苹果的字符串加密技术,该技术可用于加密URL、命令和敏感数据,使其无法被防病毒系统用于扫描已知恶意签名的静态分析工具读取或检测到。
Keeper Security的首席信息安全官James Scobey表示:“随着攻击者不断精炼其技术,包括利用受原生安全工具启发的加密方法,显然企业不能再依赖关于平台安全的传统假设。”“像Banshee Stealer这样的复杂恶意软件可以绕过传统防御,利用窃取的凭据和用户错误。”
Banshee 2.0
Check Point研究发现的另一个关键差异是,该变种已移除俄语语言检查,暗示可能的新所有权和扩展运营。
研究人员在博客文章中表示:“以前的恶意软件版本如果检测到俄语,就会终止操作,可能是为了避免针对特定地区。”“移除这一功能表明恶意软件的潜在目标范围有所扩大。”
Banshee macOS Stealer在2024年年中引起关注,在XSS、Exploit和Telegram等论坛上被宣传为“即服务窃取器”,威胁行为者可以花费3000美元购买它,以瞄准macOS用户。
然而,2024年11月,Banshee的运营在其源代码泄露于XSS论坛后发生了巨大转变,导致其公开关闭,此次泄露改善了防病毒检测,但也引发了人们对其他行为者开发新变种的担忧。
