خانه » Banshee Stealer، کاربران macOS را مورد نفوذ قرار داد

Banshee Stealer، کاربران macOS را مورد نفوذ قرار داد

توسط Vulnerbyte
34 بازدید
Banshee Stealer

محققان امنیت سایبری آزمایشگاه Elastic Security بدافزار رباینده جدیدی را یافته‌اند که کاربران macOS را مورد هدف قرار می‌دهد. این بدافزار که Banshee Stealer نام دارد با قیمت ۳ هزار دلار در ماه در دارک نت به فروش می‌رسد و معماری‌های x86_64  و ARM64 را مورد هدف قرار می‌دهد.

Banshee Stealer قادر است تا طیف گسترده‌ای از مرورگرها، کیف پول‌های ارز دیجیتال وحدود 100 افزونه مرورگر را مورد نفوذ قرار ‌دهد و حملات آن بسیار متنوع و خطرناک است. مرورگرها و کیف پول‌های ارز دیجیتال زیر، از جمله مواردی هستند که توسط Banshee Stealer مورد نفوذ قرار گرفته‌اند:

مرورگرها:

  • Chrome
  • Firefox
  • Brave
  • Edge
  • Vivaldi
  • Yandex
  • Opera
  • OperaGX
  • Safari

کیف پول‌های ارز دیجیتال:

  • Exodus
  • Electrum
  • Coinomi
  • Guarda
  • Wasabi Wallet
  • Atomic
  • Ledger

این بدافزار به طور معمول، کوکی‌ها، داده‌های لاگین و تاریخچه مرورگر را می‌رباید اما در مرورگر سافاری فقط می‌تواند کوکی‌ها را جمع آوری کند.

Banshee Stealer همچنین قادر به جمع آوری اطلاعات و داده‌های سیستم ازiCloud Keychain  و Notes می‌باشد و می‌تواند تشخیص دهد که آیا در یک محیط مجازی درحال اجرا است یا خیر؟

این بدافزار از API CFLocaleCopyPreferredLanguages برای جلوگیری از حمله به سیستم‌هایی که زبان روسی در آن به عنوان زبان اصلی می‌باشد، استفاده می‌کند.

Banshee Stealer
بررسی دیباگ، مجازی سازی و زبان دستگاه

Banshee Stealer همانند سایر بدافزارهای macOS (مانند Cuckoo و MacStealer) از osascript برای نمایش یک نوتیفیکیشن جعلی درخواست رمز عبور استفاده می‌کند تا کاربر رمز عبور خود را وارد نماید و در نهایت سطح دسترسی بدافزار افزایش یابد.

فیشینگ رمز عبور کاربر از طریق یک درخواست
فیشینگ رمز عبور کاربر از طریق یک درخواست

جمع آوری داده از فایل‌های مختلف با پسوندهای txt, .docx, .rtf, .doc, .wallet, .keys  و .keyاز فولدرهای Desktop و  Documents از جمله قابلیت‌های این بدافزار می‌باشد. داده های جمع آوری شده ابتدا در فرمت ZIP و با دستور ditto فشرده می‌شوند و سپس فایل زیپ توسط XOR و base64 رمزگذاری می‌شود و از طریق یک درخواست Post به سرور (45.142.122[.]92/send/) راه دور هکر ارسال می‌گردد.

اگرچه Stealer Banshee طراحی پیچیده‌ای ندارد اما تمرکز آن برروی سیستم‌های macOS و گستردگی داده‌هایی که جمع آوری می‌کند، این بدافزار را به یک تهدید جدی که نیازمند توجه جامعه امنیت سایبری است، تبدیل کرده است.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید