Cybersecurity-onderzoekers hebben een nieuwe, sluipende versie ontdekt van een macOS-gerichte informatiestelende malware genaamd Banshee-stealer.
“Ooit als sluimerend beschouwd na het lekken van de broncode eind 2024, introduceert deze nieuwe iteratie geavanceerde string-encryptie geïnspireerd door Apple’s XProtect”, aldus Check Point Research in een nieuwe analyse gedeeld met The Hacker News. “Deze ontwikkeling maakt het mogelijk antivirussystemen te omzeilen, wat een aanzienlijk risico vormt voor meer dan 100 miljoen macOS-gebruikers wereldwijd.”
Het cyberbeveiligingsbedrijf zei dat het de nieuwe versie eind september 2024 had gedetecteerd, waarbij de malware werd verspreid via phishing-websites en nep-GitHub-opslagplaatsen onder het mom van populaire software zoals Google Chrome, Telegram en TradingView.
Banshee Stealer werd voor het eerst gedocumenteerd in augustus 2024 door Elastic Security Labs. Het wordt aangeboden onder een Malware-as-a-Service (MaaS)-model aan andere cybercriminelen voor $3.000 per maand en is in staat gegevens te verzamelen uit webbrowsers, cryptocurrency-wallets en bestanden die overeenkomen met specifieke extensies.
De malware-operatie kreeg eind november 2024 een tegenslag toen de broncode online lekte, wat ertoe leidde dat de activiteiten moesten worden stopgezet. Check Point zei echter dat het meerdere campagnes heeft geïdentificeerd die de malware nog steeds via phishing-websites verspreiden, hoewel het momenteel niet bekend is of deze door eerdere klanten zijn uitgevoerd.
De nieuwe variant valt op door het verwijderen van een Russische taalcontrole die werd gebruikt om infecties van Macs te voorkomen die Russisch als standaardsysteemtaal hadden ingesteld. Het laten vallen van deze functie zinspeelt op de mogelijkheid dat de dreigingsactoren een breder net van potentiële doelwitten willen werpen.
Een andere cruciale update is het gebruik van een string-encryptie-algoritme van Apple’s XProtect-antivirus-engine om de leesbare tekstreeksen die in de originele versie van Banshee Stealer werden gebruikt, te verdoezelen.
“Moderne malwarecampagnes maken misbruik van veel voorkomende menselijke kwetsbaarheden, niet alleen van platformspecifieke fouten”, zegt Eli Smadja, manager van de beveiligingsonderzoeksgroep bij Check Point Research, in een verklaring gedeeld met The Hacker News. “MacOS wordt, net als elk ander besturingssysteem, blootgesteld aan deze evoluerende bedreigingen, vooral omdat cybercriminelen geavanceerde technieken gebruiken, zoals social engineering en valse software-updates.”
De ontwikkeling komt doordat ongevraagde berichten op Discord worden gebruikt om verschillende stealer-malwarefamilies zoals Nova Stealer, Ageo Stealer en Hexon Stealer te verspreiden onder het voorwendsel van het testen van een nieuwe videogame.
“Een van de belangrijkste belangen van de stelers lijkt de inloggegevens van Discord te zijn, die kunnen worden gebruikt om het netwerk van gecompromitteerde accounts uit te breiden”, aldus Malwarebytes. “Dit helpt hen ook omdat een deel van de gestolen informatie ook accounts van vrienden van de slachtoffers bevat.”