Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Banshee Stealer: Un Nuovo Malware che Minaccia la Sicurezza di macOS

Sandro Sana : 13 Gennaio 2025 09:23

Nell’ambito della sicurezza informatica, una nuova e sofisticata minaccia ha attirato l’attenzione degli esperti: il Banshee Stealer, un malware progettato specificamente per macOS. In questo articolo esploreremo i dettagli tecnici di questa minaccia, i suoi meccanismi di funzionamento e le sue implicazioni, basandoci sull’analisi pubblicata da Check Point Research e su dati derivanti da investigazioni grafiche, incluse quelle rappresentate nell’immagine allegata.

Introduzione al malware Banshee Stealer

Il Banshee Stealer rappresenta un nuovo capitolo nel panorama delle minacce informatiche rivolte a macOS, distinguendosi per la sua capacità di rubare informazioni sensibili dai dispositivi. Una caratteristica particolarmente preoccupante è la sua capacità di sfruttare codice estratto direttamente da XProtect, il sistema integrato di protezione di macOS. Questo approccio non solo dimostra un’elevata sofisticazione, ma anche una conoscenza approfondita delle difese native del sistema operativo di Apple.

Progettato per sottrarre credenziali, cookie dei browser, informazioni sulle criptovalute e molto altro, Banshee Stealer rappresenta un significativo passo avanti nell’evoluzione delle minacce contro macOS, storicamente considerato meno vulnerabile rispetto a Windows. La sua complessità e l’approccio mirato suggeriscono un notevole livello di professionalità da parte degli sviluppatori che lo hanno creato.

Meccanismi di funzionamento

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Il funzionamento del Banshee Stealer è reso possibile da un’architettura complessa che combina tecniche di offuscamento avanzate e sfruttamento mirato del codice di sicurezza nativo di macOS. Il codice del malware, infatti, utilizza metodi di offuscamento per eludere l’identificazione da parte degli antivirus tradizionali e degli strumenti di analisi, rendendo difficile per i professionisti della sicurezza rilevarlo e bloccarlo in tempo.

Una caratteristica distintiva del Banshee Stealer è l’integrazione di parti di codice derivanti da XProtect, il sistema di protezione integrato di macOS. Questa strategia consente al malware di aggirare i controlli di sicurezza e apparire legittimo, aumentando la sua efficacia e riducendo le probabilità di rilevamento. Una volta infettato il dispositivo, il malware si attiva per raccogliere una vasta gamma di dati sensibili, incluse le credenziali salvate nei browser, i cookie di sessione che possono essere utilizzati per bypassare l’autenticazione multi-fattore e i dati relativi ai portafogli di criptovalute e ad altre risorse digitali.

Dopo aver raccolto le informazioni, il malware le invia a server remoti utilizzando una sofisticata infrastruttura di comando e controllo. Questo consente agli operatori del malware di accedere ai dati rubati in tempo reale, garantendo una maggiore flessibilità nelle operazioni malevole.

Analisi dell’infrastruttura

L’immagine allegata offre una panoramica visiva della complessità dell’infrastruttura utilizzata dal Banshee Stealer. Essa rivela una rete intricata di connessioni tra diversi nodi, ciascuno dei quali svolge un ruolo specifico nell’operazione del malware. Al centro dell’infrastruttura si trovano le entità principali del malware, rappresentate da nodi come Banshee e Lumma Stealer. Questi sono collegati a una rete di indirizzi IP e domini utilizzati per la distribuzione e il comando.

I nodi centrali, identificati come indirizzi IP e hash, rappresentano elementi critici dell’infrastruttura del malware. Attraverso di essi, il malware comunica e si propaga, rendendoli obiettivi fondamentali per qualsiasi strategia di mitigazione. I domini malevoli, come faultyok.site, authoritysite.site, westar.io e coinceapy.com, svolgono un ruolo chiave sia nell’hosting dei payload che nella comunicazione con i server di comando e controllo.

Le connessioni multiple evidenziate nell’immagine, rappresentate da linee blu, illustrano chiaramente la distribuzione capillare del malware attraverso diverse risorse, sottolineando la necessità di un monitoraggio continuo e approfondito per individuare e bloccare queste attività.

Modalità di distribuzione

Il Banshee Stealer si diffonde attraverso una combinazione di metodi, tra cui campagne di phishing, applicazioni piratate e siti web compromessi. Le email fraudolente utilizzate in queste campagne spesso contengono allegati infetti o link a siti malevoli che sfruttano vulnerabilità dei browser per installare il malware. Inoltre, l’uso di software apparentemente legittimo ma modificato per includere il codice malevolo rappresenta un altro vettore di infezione comune.

Un esempio di questa strategia è l’impiego di domini come seatylar.site e westar.io, che fungono sia da vettori di distribuzione che da punti di comunicazione con i server di comando e controllo. Questi domini, spesso registrati utilizzando tecniche di anonimizzazione, rendono difficile tracciare gli operatori dietro il malware.

Raccomandazioni per la mitigazione

Per contrastare minacce come il Banshee Stealer, è essenziale adottare un approccio proattivo e multilivello alla sicurezza informatica. Il monitoraggio del traffico di rete rappresenta un primo passo cruciale, permettendo di identificare e bloccare i domini e gli indirizzi IP associati al malware. L’analisi del comportamento delle applicazioni può inoltre rivelare attività sospette che potrebbero indicare un’infezione in corso.

È altrettanto importante sensibilizzare gli utenti sui rischi legati al phishing e all’uso di software piratato. La promozione di buone pratiche, come l’utilizzo di autenticazione multi-fattore e l’aggiornamento regolare dei sistemi, può ridurre significativamente le probabilità di successo di un attacco. Infine, l’implementazione di soluzioni avanzate di rilevamento e risposta, come gli strumenti EDR e XDR, può garantire una maggiore protezione contro queste minacce emergenti.

Il Banshee Stealer rappresenta una minaccia sofisticata e pericolosa per l’ecosistema macOS, evidenziando la necessità di un approccio sempre più innovativo e collaborativo alla cybersecurity. La sua capacità di sfruttare le difese native di macOS e la sua infrastruttura complessa dimostrano come gli attori malevoli stiano evolvendo le loro tattiche per superare le difese esistenti. Gli esperti di sicurezza devono rimanere vigili e collaborare per condividere informazioni, sviluppare strategie efficaci e proteggere i sistemi da queste nuove minacce che stanno ridefinendo il panorama della sicurezza informatica.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...