Il malware Banshee 2.0, un infostealer che prende di mira macOS, elude il rilevamento antivirus utilizzando un meccanismo di crittografia tratto dal prodotto antivirus XProtect di Apple. Questa variante si è diffusa principalmente attraverso i mercati russi del crimine informatico sin dalla sua introduzione a luglio.
Il malware Banshee 2.0 utilizza la crittografia di Apple per eludere il rilevamento
Il malware Banshee 2.0, al prezzo di 1.500 dollari come “stealer-as-a-service”, è progettato per rubare credenziali da vari browser tra cui Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex e Opera, insieme alle estensioni del browser per portafogli di criptovaluta come Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum ed Exodus. Raccoglie inoltre informazioni di sistema aggiuntive, come specifiche software e hardware e la password macOS necessaria per sbloccare il sistema.
La versione iniziale di Banshee veniva spesso rilevata dai software antivirus a causa della confezione in testo non crittografato. Tuttavia, il 26 settembre è emersa una variante più potente, che utilizza lo stesso algoritmo di crittografia dello strumento antivirus Xprotect di Apple, consentendogli di eludere il rilevamento per quasi due mesi. Ricerca sui punti di controllo trovato che mentre la maggior parte delle soluzioni antivirus in VirusTotal hanno contrassegnato i campioni iniziali di Banshee in testo normale, la nuova versione crittografata è passata inosservata da circa 65 motori antivirus.
L’origine della tecnica di crittografia rimane poco chiara, anche se Antonis Terefos, reverse engineer di Check Point, ha ipotizzato che l’autore del malware, noto come “0xe1” o “kolosain”, potrebbe aver effettuato il reverse engineering dei file binari XProtect o aver avuto accesso a pubblicazioni pertinenti. Questa nuova crittografia ha consentito a Banshee di nascondere le sue funzionalità in modo efficace.
“Potrebbe darsi che abbiano eseguito un reverse engineering dei file binari di XProtect, o addirittura abbiano letto pubblicazioni rilevanti, ma non possiamo confermarlo. Una volta che la crittografia delle stringhe di macOS XProtect diventa nota, ovvero il modo in cui l’antivirus memorizza le regole YARA viene decodificato, gli autori delle minacce possono facilmente “reimplementare” la crittografia delle stringhe per scopi dannosi”, Antonis Terefos, reverse engineer presso Check Point Research, affermazioni.
Campagne e metodi di distribuzione
Dalla fine di settembre, Check Point Research ha monitorato oltre 26 campagne che utilizzano Banshee, classificate in due gruppi principali. Il primo gruppo era costituito da campagne di repository GitHub che hanno prosperato da metà ottobre all’inizio di novembre, promuovendo versioni crackate di software popolari insieme al malware Banshee nascosto sotto nomi di file generici come “Setup”, “Installer” e “Update”. Questi repository prendevano di mira anche gli utenti Windows con Lumma Stealer.
La seconda categoria riguardava i siti di phishing in cui gli aggressori mascheravano Banshee 2.0 come software popolare, tra cui Google CromoTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT e Telegram. Gli utenti su macOS venivano indirizzati a scaricare collegamenti per il payload dannoso.
Il 23 novembre, il codice sorgente di Banshee è trapelato sul forum russo XSS del dark web, spingendo il suo autore a cessare le operazioni. Nonostante la fuga di notizie, Check Point continua a osservare le campagne in corso che distribuiscono Banshee attraverso metodi di phishing mascherati da software legittimo, sottolineando la continua minaccia del malware per gli utenti macOS.
Il successo del malware Banshee 2.0 illustra il panorama in evoluzione delle minacce alla sicurezza informatica rivolte a macOS, sottolineando la necessità per gli utenti di mantenere la vigilanza contro potenziali malware e attacchi di phishing poiché diventano sempre più bersagli di sofisticate tattiche criminali informatiche.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
