محققان امنیت سایبری آزمایشگاه Elastic Security بدافزار رباینده جدیدی را یافتهاند که کاربران macOS را مورد هدف قرار میدهد. این بدافزار که Banshee Stealer نام دارد با قیمت ۳ هزار دلار در ماه در دارک نت به فروش میرسد و معماریهای x86_64 و ARM64 را مورد هدف قرار میدهد.
Banshee Stealer قادر است تا طیف گستردهای از مرورگرها، کیف پولهای ارز دیجیتال وحدود 100 افزونه مرورگر را مورد نفوذ قرار دهد و حملات آن بسیار متنوع و خطرناک است. مرورگرها و کیف پولهای ارز دیجیتال زیر، از جمله مواردی هستند که توسط Banshee Stealer مورد نفوذ قرار گرفتهاند:
مرورگرها:
- Chrome
- Firefox
- Brave
- Edge
- Vivaldi
- Yandex
- Opera
- OperaGX
- Safari
کیف پولهای ارز دیجیتال:
- Exodus
- Electrum
- Coinomi
- Guarda
- Wasabi Wallet
- Atomic
- Ledger
این بدافزار به طور معمول، کوکیها، دادههای لاگین و تاریخچه مرورگر را میرباید اما در مرورگر سافاری فقط میتواند کوکیها را جمع آوری کند.
Banshee Stealer همچنین قادر به جمع آوری اطلاعات و دادههای سیستم ازiCloud Keychain و Notes میباشد و میتواند تشخیص دهد که آیا در یک محیط مجازی درحال اجرا است یا خیر؟
این بدافزار از API CFLocaleCopyPreferredLanguages برای جلوگیری از حمله به سیستمهایی که زبان روسی در آن به عنوان زبان اصلی میباشد، استفاده میکند.
Banshee Stealer همانند سایر بدافزارهای macOS (مانند Cuckoo و MacStealer) از osascript برای نمایش یک نوتیفیکیشن جعلی درخواست رمز عبور استفاده میکند تا کاربر رمز عبور خود را وارد نماید و در نهایت سطح دسترسی بدافزار افزایش یابد.
جمع آوری داده از فایلهای مختلف با پسوندهای txt, .docx, .rtf, .doc, .wallet, .keys و .keyاز فولدرهای Desktop و Documents از جمله قابلیتهای این بدافزار میباشد. داده های جمع آوری شده ابتدا در فرمت ZIP و با دستور ditto فشرده میشوند و سپس فایل زیپ توسط XOR و base64 رمزگذاری میشود و از طریق یک درخواست Post به سرور (45.142.122[.]92/send/) راه دور هکر ارسال میگردد.
اگرچه Stealer Banshee طراحی پیچیدهای ندارد اما تمرکز آن برروی سیستمهای macOS و گستردگی دادههایی که جمع آوری میکند، این بدافزار را به یک تهدید جدی که نیازمند توجه جامعه امنیت سایبری است، تبدیل کرده است.