Nuova minaccia per macOS: Banshee sfrutta XProtect per eludere il rilevamento

Nuova minaccia per macOS: Banshee sfrutta XProtect per eludere il rilevamento

La nuova variante del malware Banshee per macOS utilizza tecniche di crittografia rubate da XProtect di Apple per eludere il rilevamento, espandendo il suo targeting e rappresentando una minaccia crescente per gli utenti di sistemi Apple

di pubblicata il , alle 08:46 nel canale Sicurezza
macOS
 

Una nuova variante del malware Banshee per macOS è riuscita a eludere il rilevamento negli ultimi due mesi adottando la crittografia delle stringhe derivata da XProtect di Apple. Banshee è un infostealer specializzato nel colpire i sistemi macOS che ha fatto capolino a metà del 2024 in forma di malware-as-a-service al prezzo di 3.000 dollari al mese.

Nel novembre scorso il suo codice sorgente è stato diffuso sui forum hacker XSS e il progetto è stato chiuso, dando però modo ad altri attori di minaccia di svilupparlo ulteriormente e migliorarlo.

Check Point Research ha scoperto una delle nuove varianti, riscontrando come il metodo di crittografia presente in Banshee gli consenta di mimetizzarsi con le normali operazioni di sistema e di apparire legittimo mentre raccoglie informazioni sensibili dagli host infetti.

La nuova versione ha adottato un algoritmo di crittografia delle stringhe che XProtect stesso utilizza per proteggere i propri dati. Offuscando le sue stringhe e decifrandole solo durante l'esecuzione, Banshee può eludere i normali metodi di rilevamento statico.

È possibile che macOS e gli strumenti anti-malware di terze parti trattino questa particolare tecnica di crittografia con minor attenzione, consentendo di conseguenza a Banshee poter passare inosservato per periodi di tempo relativamente estesi.

Le prime versioni di Banshee emerse lo scorso anno evitavano accuratamente i sistemi appartenenti ad utenti russi, modello di comportamento che non è più presente nelle attuali versioni permettendo quindi all'infostealer di ampliare il potenziale bacino di vittime.

La variante più recente di Banshee viene distribuita principalmente tramite repository GitHub compromessi o appositamente realizzati per prendere di mira gli utenti macOS attraverso l'impersonificazione di software legittimi. Check Point rileva che la stessa mano che opera attualmente Banshee colpisce anche gli utenti Windows, ma con il malware Lumma Stealer.

Come dicevamo in precedenza, Banshee è risultato inattivo fin da novembre, ma Check Point sottolinea che diverse campagne di phishing hanno continuato a distribuire il malware anche dopo la diffusione del codice sorgente.

Il bersaglio preferito di Banshee sono le informazioni salvate nei principali browser web, incluse password, estensioni per l'autenticazione a due fattori e estensioni per portafogli di criptovalute. Oltre a questi dati l'infostealer raccoglie informazioni di base sul sistema colpito e sulla rete, mostrando inoltre agli utenti richieste ingannevoli allo scopo di rubare le password di sistema.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^