研究人员分析了 Banshee macOS Stealer样本的新版本,该样本最初避开了大多数反病毒引擎的检测。
分析显示,该恶意软件采用了一种独特的字符串加密技术,与Apple XProtect防病毒引擎用于加密二进制文件中YARA规则的加密方法相同。通过利用这种共享加密算法,Banshee可以混淆关键字符串,从而阻碍安全解决方案的即时检测。
Check Point 研究人员补充道:“随着macOS的持续普及,全球用户超过1亿,它正逐渐成为网络犯罪分子越来越青睐的目标。”
已解压Banshee MacOS Stealer检测
Banshee是一种窃取恶意软件,通过使用反分析技术(例如分叉和进程创建)来避免检测,目标是用户凭证、浏览器数据和加密钱包。
从包括Chrome 、Brave 、Edge 、Vivaldi 、Yandex 和Opera在内的各种浏览器和浏览器扩展中窃取信息,同时也针对特定的加密钱包扩展程序。
被窃取的数据经过压缩后,使用活动ID进行XOR加密,然后进行base64编码,最后被传输到命令和控制服务器。
C&C服务器经历了多次迭代,从基于Django的服务器(具有单独的管理面板),到用于机器人通信的单一FastAPI端点。目前,托管管理面板的服务器隐藏在Relay服务器后面,以增加隐蔽性。
C&C解密
Check Point Research发现了针对macOS用户的Banshee Stealer新版本,该版本通过多个假装提供破解软件的网络钓鱼存储库进行分发。
这些储存库在恶意软件推送前几周创建,恶意软件窃取数据并将其发送到C&C服务器。最新的活动使用钓鱼网站针对macOS用户,并伪装成Telegram下载传播恶意软件。
存储库发布
一名名为@kolosain的威胁行为者最初在Telegram上以2999美元的价格出售Banshee macOS 窃取程序。随后,他们在XSS和Exploit论坛上以每月1500美元的价格提供该服务。甚至还招募了有限数量的熟练会员,组成了私人团体,并提供利润分享模式。
在原始源代码泄露后,@kolosain试图在关闭服务前出售整个项目。泄密事件导致防病毒软件的检测率上升,但也增加了其他行为者开发分支和新变种的可能性。
Banshee特卖帖
Banshee macOS Stealer最新代码更新涉及字符串加密,成功避开防病毒软件的检测长达两个多月的时间。
以前专注于Windows的恶意行为者现在正积极针对macOS,利用GitHub等平台分发DMG文件和不受保护的档案。
这强调了需要能够适应不断演变的威胁的强大安全解决方案,包括主动威胁情报以及操作系统和应用程序的及时更新。
用户必须保持警惕,谨慎对待意外通信,并优先进行网络安全意识培训,以减轻与这些威胁相关的风险。
参考链接:https://cybersecuritynews.com/banshee-malware-targets-macos/
