防病毒程序发现 macOS 信息窃取程序“Banshee”正在使用从 Apple 窃取的字符串加密算法。
Banshee 自 7 月以来一直在传播,主要通过俄罗斯网络犯罪市场传播,在那里它以 1,500 美元的价格出售给 Mac 电脑的“窃取即服务”。
它旨在窃取浏览器(Google Chrome、Brave、Microsoft Edge、Vivaldi、Yandex 和 Opera)以及与加密货币钱包相关的浏览器扩展程序(Ledger、Atomic、Wasabi、Guarda、Coinomi、Electrum 和 Exodus)的凭据。
此外,它还会窃取有关目标系统的其他信息,包括软件和硬件规格以及解锁系统所需的密码。
它远非完美,被防病毒程序广泛检测到,部分原因是它完全以纯文本形式打包。
但在 9 月 26 日,Check Point 的研究人员发现了一个更强大的变体。
这个更成功的变体几个月来一直未被发现,主要是因为它使用与 Apple 的macOS防病毒工具Xprotect 相同的算法进行加密。
Banshee 恶意软件窃取 XProtect 数据
XProtect 是 Apple 为 macOS 开发的一款已有十五年历史的反恶意软件引擎。
为了检测和阻止恶意软件,它使用“Remediator”二进制文件,该二进制文件结合了各种防病毒方法和工具,包括 YARA 规则,其中包含与已知威胁相关的模式和签名。
Check Point 发现,保护 XProtect 的 YARA 规则的相同加密算法也隐藏了 Banshee 的 9 月变种。
目前还不清楚恶意软件作者(化名“0xe1”或“kolosain”)是如何获得该算法的。
Check Point Research 的逆向工程师 Antonis Terefos 推测:“他们可能对 XProtect 二进制文件进行了逆向工程,甚至阅读了相关出版物,但我们无法证实这一点。
一旦 macOS XProtect 的字符串加密被人知晓(即防病毒软件存储 YARA 规则的方式被逆向工程),威胁行为者就可以轻松地‘重新实现’字符串加密以用于恶意目的”。
不管怎样,效果都很显著。
VirusTotal 中的大多数防病毒解决方案都使用纯文本检测到了最初的 Banshee 样本,但一旦开发人员引入这种新颖的字符串加密算法,VirusTotal 中大约 65 个防病毒引擎都无法检测到它。
这种情况持续了大约两个月。11 月 23 日,Banshee 的源代码在俄语网络犯罪论坛“XSS”上泄露。
0xe1 关闭了他的恶意软件即服务 (MaaS) 操作,防病毒供应商在适当的时候纳入了相关的 YARA 规则。
但即使在那之后,Terefos 报告称,加密的 Banshee 仍然未被 VirusTotal 上的大多数引擎检测到。
Banshee Stealer 如何在网络攻击中传播
自 9 月底以来,Check Point 已发现超过 26 起传播 Banshee 的活动。总体而言,这些活动可分为两类。
在从 10 月中旬到 11 月初的三波活动中,威胁者通过 GitHub 存储库传播了信息窃取程序。
这些存储库承诺为用户提供流行软件的破解版本,如 Adobe 程序和各种图像和视频编辑工具。
该恶意软件隐藏在“Setup”、“Installer”和“Update”等通用文件名后面。同样的活动集群还利用流行的 Lumma Stealer 针对 Windows 用户。
其余活动通过各种形式的钓鱼网站传播 Banshee。
在这些情况下,攻击者将恶意软件伪装成各种流行的软件程序,包括 Google Chrome、TradingView、Zegent、Parallels、Solara、CryptoNews、MediaKIT 和 Telegram。
如果访问者使用的是 macOS,他们会得到一个下载链接。
既然 Banshee 已经泄露,更多不同的攻击活动可能正在酝酿之中。
尽管 macOS 传统上被认为更安全,但 Banshee 的成功表明 macOS 用户保持警惕并意识到威胁的重要性。
