نسخه جدید بدافزار رباینده اطلاعات Banshee، آنتی ویروس را دور می‌زند!

نوع جدیدی از بدافزار رباینده اطلاعات Banshee که بر سیستم عامل macOS متمرکز می‌باشد، شناسایی شده است. نسخه جدید Banshee از یک الگوریتم رمزگذاری رشته‌ای مشتق شده از موتور آنتی ویروس XProtect اپل برای دور زدن آنتی ویروس استفاده می‌کند. این بدافزار قادر به سرقت اطلاعات حساس مانند داده‌های لاگین ذخیره شده در مرورگر و داده‌های کیف پول‌های ارز دیجیتال است.

تکنیک رمزگذاری جدید در این بدافزار، جایگزین رشته‌های متنی ساده مورد استفاده در نسخه‌های قبلی شده است که قابلیت مخفی ماندن آن را افزایش می‌دهد.

شرکت امنیت سایبری Check Point، این نسخه جدید را در اواخر سپتامبر ۲۰۲۴ شناسایی کرده است. نسخه جدید Banshee از طریق وب سایت‌های فیشینگ و مخازن جعلی گیت هاب (GitHub) تحت پوشش نرم افزارهای محبوبی مانند Google Chrome، TradingView، Zegent، Parallels، Solara، CryptoNews، MediaKIT و Telegram توزیع می‌شود. این تاکتیک از آسیب پذیری‌های رایج در سیستم کاربر و اعتماد به نرم افزار‌ها یا وب سایت‌ها سوء استفاده می‌کند.

Banshee اولین بار در آگوست ۲۰۲۴ توسط آزمایشگاه‌های امنیت سایبری Elastic Security شناسایی شد. Banshee تحت مدل بدافزار به عنوان یک سرویس (MaaS) با مبلغ ۳ هزار دلار در ماه به مجرمان سایبری اجاره داده می‌شود. این بدافزار می‌تواند داده‌ها را از مرورگرهای وب، کیف پول‌های ارز دیجیتال و فایل‌های دارای پسوندهای خاص جمع آوری کند.

عملیات بدافزاری Banshee در اواخر نوامبر ۲۰۲۴، پس از فاش شدن کد منبع آن به صورت آنلاین با شکست مواجه شد و هکرهای این گروه مجبور به مختل کردن این عملیات شدند. اگرچه Check Point اعلام کرد که کمپین‌های متعددی را شناسایی کرده است که هنوز این بدافزار را از طریق وب سایت‌های فیشینگ توزیع می‌کنند اما مشخص نیست که آیا این کار توسط مشتریان قبلی این بدافزار انجام می‌شود یا خیر.

این کمپین‌ها، کاربران macOS را توسط Banshee و به طور همزمان کاربران ویندوز را توسط بدافزار معروف دیگری به نام رباینده اطلاعات Lumma  مورد نفوذ قرار می‌دهند که نشان دهنده هدف مجرمان سایبری برای نفوذ هرچه بیشتر به تمامی سیستم عامل‌ها است.

نسخه جدید Banshee به دلیل حذف بررسی زبان روسی مورد استفاده برای جلوگیری از گسترش نفوذ به سیستم‌های مک کاربران روسی (سیستم‌هایی که زبان پیش فرض آنها روسی است)، قابل توجه است. حذف این ویژگی به این احتمال اشاره دارد که هکرهای پشت این بدافزار، به دنبال گسترش اهداف بالقوه خود هستند.

ظهور این نوع جدید، چشم انداز در حال تحول تهدیدات سایبری را که کاربران macOS را هدف قرار می‌دهند، برجسته می‌کند. از آنجایی که توسعه‌ دهندگان بدافزار، تکنیک‌های پیچیده‌ای را برای دور زدن اقدامات امنیتی اتخاذ می‌کنند، ضرورت بهبود اقدامات امنیت سایبری در بین افراد و سازمان‌ها حائز اهمیت می‌باشد.

از این رو، به کاربران توصیه می‌شود در برابر تلاش‌های فیشینگ هوشیار باقی بمانند و مطمئن شوند که سیستم‌هایشان مجهز به راه‌حل‌های امنیتی قوی هستند که قادر به شناسایی چنین تهدیدات پیشرفته‌ای می‌باشند.

به طور خلاصه، نسخه اخیر Banshee Stealer نشان می‌دهد که چگونه مجرمان سایبری استراتژی‌های خود را برای سوء استفاده از آسیب ‌پذیری‌ها در نرم‌افزار و رفتار کاربر تطبیق می‌دهند، که نیاز به یک رویکرد فعالانه برای امنیت سایبری دارد.

منابع