研究人員分析了 Banshee macOS Stealer樣本的新版本，該樣本最初避開了大多數(shù)反病毒引擎的檢測。

分析顯示，該惡意軟件采用了一種獨特的字符串加密技術，與Apple XProtect防病毒引擎用于加密二進制文件中YARA規(guī)則的加密方法相同。通過利用這種共享加密算法，Banshee可以混淆關鍵字符串，從而阻礙安全解決方案的即時檢測。

Check Point 研究人員補充道：“隨著macOS的持續(xù)普及，全球用戶超過1億，它正逐漸成為網(wǎng)絡犯罪分子越來越青睞的目標?！?/p>

已解壓Banshee MacOS Stealer檢測

Banshee是一種竊取惡意軟件，通過使用反分析技術（例如分叉和進程創(chuàng)建）來避免檢測，目標是用戶憑證、瀏覽器數(shù)據(jù)和加密錢包。

從包括Chrome 、Brave 、Edge 、Vivaldi 、Yandex 和Opera在內(nèi)的各種瀏覽器和瀏覽器擴展中竊取信息，同時也針對特定的加密錢包擴展程序。

被竊取的數(shù)據(jù)經(jīng)過壓縮后，使用活動ID進行XOR加密，然后進行base64編碼，最后被傳輸?shù)矫詈涂刂品掌鳌?/p>

C&C服務器經(jīng)歷了多次迭代，從基于Django的服務器（具有單獨的管理面板），到用于機器人通信的單一FastAPI端點。目前，托管管理面板的服務器隱藏在Relay服務器后面，以增加隱蔽性。

C＆C解密

Check Point Research發(fā)現(xiàn)了針對macOS用戶的Banshee Stealer新版本，該版本通過多個假裝提供破解軟件的網(wǎng)絡釣魚存儲庫進行分發(fā)。

這些儲存庫在惡意軟件推送前幾周創(chuàng)建，惡意軟件竊取數(shù)據(jù)并將其發(fā)送到C&C服務器。最新的活動使用釣魚網(wǎng)站針對macOS用戶，并偽裝成Telegram下載傳播惡意軟件。

存儲庫發(fā)布

一名名為@kolosain的威脅行為者最初在Telegram上以2999美元的價格出售Banshee macOS 竊取程序。隨后，他們在XSS和Exploit論壇上以每月1500美元的價格提供該服務。甚至還招募了有限數(shù)量的熟練會員，組成了私人團體，并提供利潤分享模式。

在原始源代碼泄露后，@kolosain試圖在關閉服務前出售整個項目。泄密事件導致防病毒軟件的檢測率上升，但也增加了其他行為者開發(fā)分支和新變種的可能性。

Banshee特賣帖

Banshee macOS Stealer最新代碼更新涉及字符串加密，成功避開防病毒軟件的檢測長達兩個多月的時間。

以前專注于Windows的惡意行為者現(xiàn)在正積極針對macOS，利用GitHub等平臺分發(fā)DMG文件和不受保護的檔案。

這強調(diào)了需要能夠適應不斷演變的威脅的強大安全解決方案，包括主動威脅情報以及操作系統(tǒng)和應用程序的及時更新。

用戶必須保持警惕，謹慎對待意外通信，并優(yōu)先進行網(wǎng)絡安全意識培訓，以減輕與這些威脅相關的風險。

參考鏈接：https://cybersecuritynews.com/banshee-malware-targets-macos/