Szkodliwe oprogramowanie Banshee 2.0, złodziej informacji atakujący system macOS, unika wykrycia przez program antywirusowy, wykorzystując mechanizm szyfrowania zaczerpnięty z produktu antywirusowego XProtect firmy Apple. Od czasu jego wprowadzenia w lipcu wariant ten rozprzestrzeniał się głównie za pośrednictwem rosyjskich rynków cyberprzestępczości.
Szkodliwe oprogramowanie Banshee 2.0 wykorzystuje szyfrowanie Apple, aby uniknąć wykrycia
Złośliwe oprogramowanie Banshee 2.0, którego cena wynosi 1500 dolarów jako „kradzież jako usługa”, ma na celu kradzież danych uwierzytelniających z różnych przeglądarek, w tym Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex i Opera, a także rozszerzeń przeglądarki do portfeli kryptowalut, takich jak Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum i Exodus. Gromadzi również dodatkowe informacje o systemie, takie jak specyfikacje oprogramowania i sprzętu oraz hasło macOS potrzebne do odblokowania systemu.
Początkowa wersja Banshee była często wykrywana przez oprogramowanie antywirusowe ze względu na opakowanie zawierające zwykły tekst. Jednak 26 września pojawił się silniejszy wariant, wykorzystujący ten sam algorytm szyfrowania, co narzędzie antywirusowe Xprotect firmy Apple, dzięki czemu mógł uniknąć wykrycia przez prawie dwa miesiące. Badania punktów kontrolnych znaleziony że chociaż większość rozwiązań antywirusowych w VirusTotal oznaczyła początkowe próbki Banshee w postaci zwykłego tekstu, nowo zaszyfrowana wersja pozostała niezauważona przez około 65 silników antywirusowych.
Źródło techniki szyfrowania pozostaje niejasne, chociaż inżynier wsteczny Check Point, Antonis Terefos, spekuluje, że autor złośliwego oprogramowania, znany jako „0xe1” lub „kolosain”, mógł dokonać inżynierii wstecznej plików binarnych XProtect lub uzyskać dostęp do odpowiednich publikacji. To nowo odkryte szyfrowanie umożliwiło Banshee skuteczne ukrycie jego funkcjonalności.
„Możliwe, że przeprowadzili inżynierię wsteczną plików binarnych XProtect lub nawet przeczytali odpowiednie publikacje, ale nie możemy tego potwierdzić. Kiedy szyfrowanie ciągów znaków w systemie macOS XProtect stanie się znane — co oznacza, że sposób, w jaki program antywirusowy przechowuje reguły YARA, zostanie poddany inżynierii wstecznej — przestępcy mogą z łatwością „ponownie zaimplementować” szyfrowanie ciągów znaków w złośliwych celach” – Antonis Terefos, inżynier wsteczny w Check Point Research, roszczenia.
Kampanie i metody dystrybucji
Od końca września firma Check Point Research prześledziła ponad 26 kampanii wykorzystujących Banshee, podzielonych na dwie główne grupy. Pierwsza grupa składała się z kampanii dotyczących repozytoriów GitHub, które kwitły od połowy października do początku listopada i promowały złamane wersje popularnego oprogramowania wraz ze złośliwym oprogramowaniem Banshee ukrytym pod ogólnymi nazwami plików, takimi jak „Setup”, „Installer” i „Update”. Repozytoria te atakowały także użytkowników systemu Windows za pomocą Lumma Stealer.
Druga kategoria obejmowała witryny phishingowe, w których napastnicy ukrywali Banshee 2.0 pod postacią popularnego oprogramowania, w tym m.in GoogleChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT i Telegram. Użytkownikom systemu macOS polecono pobrać łącza do szkodliwego ładunku.
23 listopada na rosyjskim forum XSS w ciemnej sieci wyciekł kod źródłowy Banshee, co skłoniło jego autora do zaprzestania działalności. Pomimo wycieku firma Check Point w dalszym ciągu obserwuje trwające kampanie rozpowszechniające Banshee za pomocą metod phishingowych podszywających się pod legalne oprogramowanie, podkreślając ciągłe zagrożenie, jakie złośliwe oprogramowanie stanowi dla użytkowników systemu macOS.
Sukces złośliwego oprogramowania Banshee 2.0 ilustruje ewoluujący krajobraz zagrożeń cyberbezpieczeństwa wymierzonych w system macOS, podkreślając konieczność zachowania przez użytkowników czujności przed potencjalnym złośliwym oprogramowaniem i atakami typu phishing, ponieważ coraz częściej stają się oni celem wyrafinowanych taktyk cyberprzestępczych.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
