Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a

Opisi virusa, 10.01.2025, 14:00 PM

Istraživači sajber bezbednosti iz kompanije Check Point otkrili su novu verziju malvera za krađu podataka za macOS pod nazivom Banshee Stealer, za koji se smatralo da je neaktivan nakon curenja izvornog koda krajem 2024. godine. Međutim, Check Point Research je otkrio da je nova verzija malvera, inspirisana enkripcijom Appleovog XProtecta, nevidljivija i sofisticiranija od prethodne. To omogućava malveru da zaobiđe antivirusne sisteme, što predstavlja značajan rizik za više od 100 miliona korisnika macOS-a širom sveta.

Check Point je rekao da su njihovi istraživači otkrili novu verziju krajem septembra 2024. godine, kao malver koji se distribuirao preko phishing veb sajtova i lažnih GitHub repozitorija pod maskom popularnog softvera kao što je Google Chrome, Telegram i TradingView.

Banshee Stealer je prvi put dokumentovan u avgustu 2024., kada je Elastic Security Labs otkrio da se malver pod modelom stealer-as-a-service prodaje hakerskim forumima, kao što su XSS i Exploit, ali i preko Telegrama, za 3.000 dolara mesečno, i da je malver sposoban da prikuplja podatke iz veb pretraživača i novčanika za kriptovalute, ali i fajlove sa određenim ekstenzijama.

Međutim, krajem novembra 2024. izvorni kod malvera procurio je na XSS forumu, što je dovelo do gašenja operacija ovog malvera. Međutim, Check Point je rekao da je otkrio više kampanja koje i dalje distribuiraju malver preko phishing veb sajtova, iako se trenutno ne zna da li ih sprovode raniji ili novi korisnici.

Ove kampanje ciljaju korisnike macOS-a Banshee Stealerom, ali istovremeno i korisnike Windowsa drugim dobro poznatim malverom, Lumma Stealer.

Nova varijanta nema proveru ruskog jezika koja se koristi za sprečavanje infekcija Mac računara na kojima je ruski podrazumevani sistemski jezik. Odustajanje od ove funkcije ukazuje na mogućnost da sajber kriminalci žele da povećaju broj potencijalnih meta.

Kada Banshee Stealer inficira sistem, on krade sistemske podatke, ciljajući veb pregledače kao što su Chrome, Brave, Edge i Vivaldi, zajedno sa ekstenzijama pregledača za kripto novčanike. Malver iskorišćava 2FA ekstenziju veb pregledača za krađu osetljivih podataka, prikuplja detalje o softveru i hardveru, eksterne IP adreese i macOS lozinke. Banshee koristi ubedljive iskačuće prozore dizajnirane da izgledaju kao legitimni sistemski upiti kako bi prevario korisnike da unesu svoje lozinke za macOS. On takođe koristi i tehnike anti-analize kako bi izbegao alate za otklanjanje grešaka i antivirusne mehanizme.

Ukradene informacije malver šalje serverima za komandu i kontrolu preko šifrovanih i kodiranih fajlova.

Uprkos reputaciji macOS-a kao bezbednog operativnog sistema, porast broja sofisticiranih pretnji kao što je Banshee MacOS Stealer služi kao podsetnik da nijedan operativni sistem nije imun na pretnje.

Foto: Gabriela Gonzalez | Unsplash