Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori hanno scoperto una nuova versione dell’infostealer Banshee progettato per macOS. Il malware non controlla più se sui sistemi infetti è installata la lingua russa ed elude il rilevamento utilizzando la crittografia delle stringhe di Apple XProtect.
Ricordiamo che Banshee è un infostealer rivolto ai sistemi che eseguono macOS. È stato avvistato per la prima volta a metà del 2024. Quindi ha funzionato secondo lo schema stealer-as-a-service, e poteva raccogliere dati da browser, portafogli di criptovaluta e file che soddisfacevano determinati criteri. Il malware veniva venduto sulla darknet per 3.000 dollari al mese.
Nel novembre 2024, il codice sorgente del ladro è stato pubblicato sui forum di hacking, dopodiché il progetto è stato chiuso, ma altri criminali hanno avuto l’opportunità di creare il proprio malware basato su Banshee.
Come riferiscono ora gli esperti di Check Point , hanno scoperto una nuova variante di Banshee che è ancora attiva oggi e utilizza un nuovo metodo di crittografia che gli consente di eludere meglio il rilevamento. Inoltre, questa versione dello stealer non evita più i sistemi degli utenti russi, il che significa che gli aggressori cercano di ampliare la gamma dei possibili bersagli degli attacchi.
Apple XProtect è una tecnologia di rilevamento malware integrata in macOS. Utilizza una serie di regole, simili alle firme antivirus, per identificare e bloccare le minacce conosciute. La variante Banshee osservata dai ricercatori utilizza l’algoritmo di crittografia delle stringhe utilizzato da XProtect per proteggere i propri dati. Crittografando le stringhe e decrittografandole solo in fase di esecuzione, Banshee evita i metodi di rilevamento statico standard. Inoltre, gli esperti ritengono che anche macOS stesso e gli strumenti di sicurezza di terze parti trattino questo metodo di crittografia con meno sospetto, il che consente al ladro di rimanere inosservato più a lungo.
I ricercatori notano che questa versione di Banshee è distribuita principalmente attraverso repository fraudolenti su GitHub, che presumibilmente offrono vari software. Allo stesso tempo, gli operatori di malware attaccano anche gli utenti Windows, ma utilizzando lo stealer Lumma.
