Malware escapa de detecção
10 de Janeiro de 2025

Uma nova versão do malware de roubo de informações Banshee para macOS tem evitado detecção nos últimos dois meses ao adotar a criptografia de strings da XProtect da Apple.

O Banshee é um ladrão de informações focado em sistemas macOS.

Ele surgiu em meados de 2024 como um serviço de roubo-as-a-service disponível para cibercriminosos por 3.000 dólares.

Seu código-fonte foi vazado nos fóruns XSS em novembro de 2024, levando ao encerramento do projeto para o público e criando uma oportunidade para outros desenvolvedores de malware melhorarem o que já existia.

De acordo com a Check Point Research, que descobriu uma das novas variantes, o método de criptografia presente no Banshee permite que ele se misture às operações normais e pareça legítimo enquanto coleta informações sensíveis dos hosts infectados.

Outra mudança é que ele não evita mais sistemas pertencentes a usuários russos.

A XProtect da Apple é a tecnologia de detecção de malware embutida no macOS.

Ela usa um conjunto de regras, semelhante às assinaturas de antivírus, para identificar e bloquear malware conhecido.

A versão mais recente do Banshee Stealer adotou um algoritmo de criptografia de strings que a própria XProtect usa para proteger seus dados.

Ao embaralhar suas strings e descriptografá-las apenas durante a execução, o Banshee pode evitar métodos de detecção estática padrão.

Também é possível que ferramentas de anti-malware do macOS e de terceiros tratem a técnica de criptografia em particular com menos suspeita, permitindo que o Banshee opere sem ser detectado por períodos mais longos.

A variante mais recente do Banshee Stealer é distribuída principalmente via repositórios GitHub enganosos, visando usuários de macOS por meio de personificação de software.

Os mesmos operadores também visam usuários de Windows, mas com o Lumma Stealer.

A Check Point relata que, embora a operação de malware-as-a-service do Banshee tenha permanecido inativa desde novembro, várias campanhas de phishing continuaram a distribuir o malware desde que o código-fonte vazou.

O infostealer visa dados armazenados em navegadores populares (por exemplo, Chrome, Brave, Edge e Vivaldi), incluindo senhas, extensões de autenticação de dois fatores e extensões de carteiras de criptomoedas.

Ele também coleta informações básicas do sistema e de rede sobre o host e apresenta às vítimas prompts de login enganosos para roubar suas senhas do macOS.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...