Исследователи в области кибербезопасности обнаружили новую, более скрытную версию вредоносной программы для похищения информации под названием Banshee Stealer, ориентированную на macOS.
«Считавшаяся бездействующей после утечки исходного кода в конце 2024 года, эта новая итерация внедряет усовершенствованное шифрование строк, позаимствованное у XProtect от Apple», – говорится в новом анализе Check Point Research. «Эта разработка позволяет обходить антивирусные системы, представляя значительный риск для более чем 100 миллионов пользователей macOS по всему миру».
Компания по кибербезопасности заявила, что обнаружила новую версию в конце сентября 2024 года. Вредоносная программа распространялась с помощью фишинговых сайтов и поддельных репозиториев GitHub под видом популярных программ, в том числе Google Chrome, Telegram и TradingView.
Впервые Banshee Stealer был задокументирован в августе 2024 года компанией Elastic Security Labs. Предлагаемый по модели «вредоносное ПО как услуга» (MaaS) другим киберпреступникам за $3000 в месяц, он способен собирать данные из веб-браузеров, криптовалютных кошельков и файлов, соответствующих определённым расширениям.
В конце ноября 2024 года вредоносная программа потерпела неудачу, когда её исходный код просочился в Интернет, что заставило злоумышленников свернуть деятельность. Однако Check Point утверждает, что обнаружила несколько кампаний, продолжающих распространять вредоносное ПО через фишинговые веб-сайты, хотя на данный момент неизвестно, осуществляются ли они прежними клиентами.
Новый вариант отличается тем, что в нём удалена проверка русского языка, используемая для предотвращения заражения компьютеров Mac, на которых русский язык установлен в качестве языка системы по умолчанию. Отказ от этой функции указывает на то, что злоумышленники хотят расширить круг потенциальных целей.
Ещё одно важное обновление – использование алгоритма шифрования строк из антивирусного движка Apple XProtect для маскировки строк открытого текста, использовавшихся в оригинальной версии Banshee Stealer.
«Современные вредоносные кампании используют общие уязвимости людей, а не только недостатки конкретных платформ», – говорит Эли Смаджа, руководитель группы исследований безопасности Check Point Research. «MacOS, как и любая другая ОС, подвержена этим развивающимся рискам, особенно когда киберпреступники используют такие передовые методы, как социальная инженерия и фиктивные обновления программного обеспечения».
Ещё по теме: