研究人员分析了 Banshee macOS Stealer样本的新版本,该样本最初逃避了大多数防病毒引擎的检测,分析显示该恶意软件采用了一种独特的字符串加密技术。
做网络和数据安全技术的朋友,可以通过“有关进群的一些提示及进群方法说明”,由群主拉您进群!非技术勿扰! |
该加密方法与 Apple XProtect 防病毒引擎用于加密二进制文件中的 YARA 规则的方法相同。通过利用这种共享加密算法,Banshee 可以混淆关键字符串,从而阻止安全解决方案立即检测到该病毒。
Check Point 研究人员补充道:“随着 macOS 越来越受欢迎, 全球用户超过 1 亿,它对网络犯罪分子来说越来越具吸引力。”
Banshee 是一种窃取恶意软件,它使用反分析技术(例如分叉和进程创建)来避免检测,从而窃取用户凭证、浏览器数据和加密钱包。
它从各种浏览器和浏览器扩展程序中窃取信息,包括 Chrome、Brave、Edge、Vivaldi、Yandex 和 Opera,同时它还针对特定的加密钱包扩展程序。
被盗数据经过压缩后,与活动 ID 进行异或加密,再进行 base64 编码,然后传输到命令和控制服务器。
C&C 服务器经历了多次迭代,从基于 Django 的服务器(具有单独的管理面板)到用于机器人通信的单个 FastAPI 端点。目前,托管管理面板的服务器隐藏在中继服务器后面,以提高隐蔽性。
C&C解密
Check Point Research发现了针对 MacOS 用户的 Banshee Stealer 新版本,该版本通过多个假装提供破解软件的网络钓鱼存储库进行分发。
这些存储库是在恶意软件被推送前几周创建的,恶意软件会窃取数据并将其发送到 C&C 服务器。最新的活动使用钓鱼网站针对 MacOS 用户,并以 Telegram 下载的形式传播恶意软件。
一名名为 @kolosain 的威胁行为者最初在 Telegram 上以 2,999 美元的价格出售 Banshee macOS 窃取程序。随后,他们在 XSS 和 Exploit 论坛上以每月 1,500 美元的价格提供该服务。
随后,该攻击者招募了有限数量的熟练会员,组成了一个私人团体,并提供了一种利润分享模式。在原始源代码泄露后,该攻击者试图在关闭服务之前出售整个项目。
此次泄密事件导致防病毒软件的检测率上升,但也增加了其他参与者开发该软件分支和新变种的可能性。
Banshee macOS 信息窃取程序的最新代码更新涉及字符串加密,成功避开了防病毒软件的检测长达两个多月。
恶意行为者以前专注于 Windows,现在正积极利用复杂的恶意软件攻击 macOS,利用GitHub等平台分发 DMG 文件和不受保护的档案。
它强调需要能够适应不断演变的威胁的强大安全解决方案,包括主动威胁情报和操作系统和应用程序的及时更新。
用户必须保持警惕,谨慎对待意外通信,并优先进行网络安全意识培训,以减轻与这些威胁相关的风险。
— 欢迎关注 往期回顾 —
