一種Banshee macOS信息竊取器的變種被發(fā)現(xiàn)通過(guò)復(fù)制蘋(píng)果內(nèi)部算法的新字符串加密技術(shù)來(lái)欺騙檢測(cè)系統(tǒng)。

Check Point的一項(xiàng)研究在成功逃避檢測(cè)兩個(gè)月后捕捉到了該變種，該研究表示，威脅行為者通過(guò)釣魚(yú)網(wǎng)站和假冒的GitHub倉(cāng)庫(kù)分發(fā)Banshee，經(jīng)常冒充Google Chrome、Telegram和TradingView等流行軟件。

Menlo Security的網(wǎng)絡(luò)安全專(zhuān)家Ngoc Bui表示，這種新變種凸顯了Mac安全方面的重大漏洞?！半m然企業(yè)越來(lái)越多地采用蘋(píng)果生態(tài)系統(tǒng)，但安全工具卻未能跟上步伐，”他說(shuō)，“即使在Mac上，領(lǐng)先的端點(diǎn)檢測(cè)與響應(yīng)(EDR)解決方案也存在局限，導(dǎo)致企業(yè)存在顯著的盲點(diǎn)，我們需要采取多層次的安全方法，包括在Mac環(huán)境中培訓(xùn)更多的安全獵手?！?/p>

該惡意軟件以竊取瀏覽器憑據(jù)、加密貨幣錢(qián)包和其他敏感數(shù)據(jù)而聞名。

利用蘋(píng)果自己的技術(shù)來(lái)對(duì)抗蘋(píng)果

CheckPoint研究人員發(fā)現(xiàn)，新的Banshee變種使用了從蘋(píng)果XProtect引擎中“竊取”的字符串加密算法，這可能使其能夠逃避檢測(cè)超過(guò)兩個(gè)月。

與原始版本中使用明文字符串不同，新變種復(fù)制了蘋(píng)果的字符串加密技術(shù)，該技術(shù)可用于加密URL、命令和敏感數(shù)據(jù)，使其無(wú)法被防病毒系統(tǒng)用于掃描已知惡意簽名的靜態(tài)分析工具讀取或檢測(cè)到。

Keeper Security的首席信息安全官James Scobey表示：“隨著攻擊者不斷精煉其技術(shù)，包括利用受原生安全工具啟發(fā)的加密方法，顯然企業(yè)不能再依賴(lài)關(guān)于平臺(tái)安全的傳統(tǒng)假設(shè)。”“像Banshee Stealer這樣的復(fù)雜惡意軟件可以繞過(guò)傳統(tǒng)防御，利用竊取的憑據(jù)和用戶(hù)錯(cuò)誤?！?/p>

Banshee 2.0

Check Point研究發(fā)現(xiàn)的另一個(gè)關(guān)鍵差異是，該變種已移除俄語(yǔ)語(yǔ)言檢查，暗示可能的新所有權(quán)和擴(kuò)展運(yùn)營(yíng)。

研究人員在博客文章中表示：“以前的惡意軟件版本如果檢測(cè)到俄語(yǔ)，就會(huì)終止操作，可能是為了避免針對(duì)特定地區(qū)。”“移除這一功能表明惡意軟件的潛在目標(biāo)范圍有所擴(kuò)大。”

Banshee macOS Stealer在2024年年中引起關(guān)注，在XSS、Exploit和Telegram等論壇上被宣傳為“即服務(wù)竊取器”，威脅行為者可以花費(fèi)3000美元購(gòu)買(mǎi)它，以瞄準(zhǔn)macOS用戶(hù)。

然而，2024年11月，Banshee的運(yùn)營(yíng)在其源代碼泄露于XSS論壇后發(fā)生了巨大轉(zhuǎn)變，導(dǎo)致其公開(kāi)關(guān)閉，此次泄露改善了防病毒檢測(cè)，但也引發(fā)了人們對(duì)其他行為者開(kāi)發(fā)新變種的擔(dān)憂。