Uma nova versão do malware de roubo de informações Banshee para macOS tem evitado detecção nos últimos dois meses ao adotar a criptografia de strings da XProtect da Apple.
O Banshee é um ladrão de informações focado em sistemas macOS.
Ele surgiu em meados de 2024 como um serviço de roubo-as-a-service disponível para cibercriminosos por 3.000 dólares.
Seu código-fonte foi vazado nos fóruns XSS em novembro de 2024, levando ao encerramento do projeto para o público e criando uma oportunidade para outros desenvolvedores de malware melhorarem o que já existia.
De acordo com a Check Point Research, que descobriu uma das novas variantes, o método de criptografia presente no Banshee permite que ele se misture às operações normais e pareça legítimo enquanto coleta informações sensíveis dos hosts infectados.
Outra mudança é que ele não evita mais sistemas pertencentes a usuários russos.
A XProtect da Apple é a tecnologia de detecção de malware embutida no macOS.
Ela usa um conjunto de regras, semelhante às assinaturas de antivírus, para identificar e bloquear malware conhecido.
A versão mais recente do Banshee Stealer adotou um algoritmo de criptografia de strings que a própria XProtect usa para proteger seus dados.
Ao embaralhar suas strings e descriptografá-las apenas durante a execução, o Banshee pode evitar métodos de detecção estática padrão.
Também é possível que ferramentas de anti-malware do macOS e de terceiros tratem a técnica de criptografia em particular com menos suspeita, permitindo que o Banshee opere sem ser detectado por períodos mais longos.
A variante mais recente do Banshee Stealer é distribuída principalmente via repositórios GitHub enganosos, visando usuários de macOS por meio de personificação de software.
Os mesmos operadores também visam usuários de Windows, mas com o Lumma Stealer.
A Check Point relata que, embora a operação de malware-as-a-service do Banshee tenha permanecido inativa desde novembro, várias campanhas de phishing continuaram a distribuir o malware desde que o código-fonte vazou.
O infostealer visa dados armazenados em navegadores populares (por exemplo, Chrome, Brave, Edge e Vivaldi), incluindo senhas, extensões de autenticação de dois fatores e extensões de carteiras de criptomoedas.
Ele também coleta informações básicas do sistema e de rede sobre o host e apresenta às vítimas prompts de login enganosos para roubar suas senhas do macOS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...