網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一種針對(duì) macOS 的新型信息竊取惡意軟件變種，隱蔽性更強(qiáng)，名為Banshee Stealer。

Check Point Research 在2024 年 9 月底檢測到了這一新版本，并在最新的分析報(bào)告中表示：2024年底該惡意軟件源代碼泄露后，曾一度被認(rèn)為已經(jīng)沉寂，但新版本引入了受 Apple XProtect 啟發(fā)的高級(jí)字符串加密技術(shù)。這一技術(shù)使其能夠繞過防病毒系統(tǒng)，對(duì)全球超過1億的 macOS 用戶構(gòu)成重大威脅。

Banshee Stealer 通常會(huì)偽裝成Google Chrome 、Telegram 和 TradingView 等流行軟件，通過釣魚網(wǎng)站和虛假的 GitHub 存儲(chǔ)庫進(jìn)行傳播。2024年8月被Elastic Security Labs 首次記錄在案，它以惡意軟件即服務(wù)（MaaS）模式提供給其他網(wǎng)絡(luò)犯罪分子，每月收費(fèi)3000美元，能夠從網(wǎng)絡(luò)瀏覽器、加密貨幣錢包以及符合特定擴(kuò)展名的文件中竊取數(shù)據(jù)。

2024年11月下旬，Banshee Stealer 源代碼在網(wǎng)上泄露，導(dǎo)致運(yùn)營關(guān)閉。然而，Check Point 仍然發(fā)現(xiàn)了多起通過釣魚網(wǎng)站傳播該惡意軟件的活動(dòng)，目前尚不清楚這些活動(dòng)是否由之前的客戶發(fā)起。

新變種的一個(gè)顯著特點(diǎn)是移除了俄語檢查功能，該功能用于阻止默認(rèn)系統(tǒng)語言設(shè)置為俄語的 Mac 受到感染，放棄這一功能可能暗示威脅者正在試圖擴(kuò)大潛在目標(biāo)范圍。

另一個(gè)關(guān)鍵更新是使用了 Apple XProtect 防病毒引擎的字符串加密算法，以混淆 Banshee Stealer 原始版本中使用的明文字符串。

現(xiàn)代惡意軟件活動(dòng)正在利用人類的常見弱點(diǎn)，而不僅僅是特定平臺(tái)的漏洞。

最近也出現(xiàn)了 Discord 上未經(jīng)請(qǐng)求的消息被用來傳播各種竊取信息的惡意軟件家族的情況，比如Nova Stealer、Ageo Stealer和Hexon Stealer，通常是以測試新視頻游戲?yàn)榻杩凇?/p>

這些惡意軟件的主要目標(biāo)似乎是 Discord 憑證，這些憑證可以用來擴(kuò)大被入侵賬戶的網(wǎng)絡(luò)。

參考來源：https://thehackernews.com/2025/01/new-banshee-stealer-variant-bypasses.html