Die Banshee 2.0-Malware, ein Infostealer, der auf macOS abzielt, entgeht der Antiviren-Erkennung, indem sie einen Verschlüsselungsmechanismus nutzt, der aus dem Antivirenprodukt XProtect von Apple stammt. Diese Variante hat sich seit ihrer Einführung im Juli vor allem über russische Marktplätze für Cyberkriminalität verbreitet.
Banshee 2.0-Malware nutzt die Verschlüsselung von Apple, um der Erkennung zu entgehen
Die Banshee 2.0-Malware, die als „Stealer-as-a-Service“ 1.500 US-Dollar kostet, ist darauf ausgelegt, Anmeldeinformationen aus verschiedenen Browsern zu stehlen, darunter Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex und Opera sowie Browsererweiterungen für Kryptowährungs-Wallets wie Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum und Exodus. Außerdem werden zusätzliche Systeminformationen wie Software- und Hardwarespezifikationen sowie das zum Entsperren des Systems erforderliche macOS-Passwort erfasst.
Die ursprüngliche Version von Banshee wurde aufgrund der Klartextverpackung häufig von Antivirensoftware erkannt. Allerdings tauchte am 26. September eine wirksamere Variante auf, die den gleichen Verschlüsselungsalgorithmus wie das Antiviren-Tool Xprotect von Apple nutzte und so der Erkennung fast zwei Monate lang entgehen konnte. Check Point-Forschung gefunden dass die meisten Antiviren-Lösungen in VirusTotal zwar die ersten Banshee-Beispiele im Klartext markierten, die neu verschlüsselte Version jedoch von etwa 65 Antiviren-Engines unbemerkt blieb.
Die Quelle der Verschlüsselungstechnik bleibt unklar, obwohl der Reverse Engineer von Check Point, Antonis Terefos, spekulierte, dass der Malware-Autor, bekannt als „0xe1“ oder „Kolosain“, XProtect-Binärdateien rückentwickelt oder auf relevante Veröffentlichungen zugegriffen haben könnte. Diese neu entdeckte Verschlüsselung hat es Banshee ermöglicht, seine Funktionalität effektiv zu verbergen.
„Es könnte sein, dass sie ein Reverse Engineering der XProtect-Binärdateien durchgeführt oder sogar relevante Veröffentlichungen gelesen haben, aber wir können es nicht bestätigen. Sobald die String-Verschlüsselung von macOS XProtect bekannt wird – was bedeutet, dass die Art und Weise, wie das Antivirenprogramm die YARA-Regeln speichert, rückentwickelt wird – können Bedrohungsakteure die String-Verschlüsselung leicht für böswillige Zwecke „reimplementieren““, sagt Antonis Terefos, Reverse Engineer bei Check Point Research. Ansprüche.
Kampagnen und Vertriebsmethoden
Seit Ende September hat Check Point Research über 26 Kampagnen mit Banshee verfolgt, die in zwei Hauptgruppen eingeteilt wurden. Die erste Gruppe bestand aus GitHub-Repository-Kampagnen, die von Mitte Oktober bis Anfang November florierten und neben der Banshee-Malware, die unter generischen Dateinamen wie „Setup“, „Installer“ und „Update“ versteckt war, auch geknackte Versionen beliebter Software bewarben. Diese Repositories zielten mit dem Lumma Stealer auch auf Windows-Benutzer ab.
Die zweite Kategorie umfasste Phishing-Sites, auf denen Angreifer Banshee 2.0 als beliebte Software tarnten, darunter Google ChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT und Telegram. Benutzer von macOS wurden angewiesen, Links für die bösartige Nutzlast herunterzuladen.
Am 23. November wurde der Quellcode von Banshee im russischen Dark-Web-Forum XSS durchgesickert, was den Autor dazu veranlasste, den Betrieb einzustellen. Trotz des Lecks beobachtet Check Point weiterhin laufende Kampagnen, bei denen Banshee über Phishing-Methoden verbreitet wird, die sich als legitime Software ausgeben, und betont die anhaltende Bedrohung der Malware für macOS-Benutzer.
Der Erfolg der Banshee 2.0-Malware verdeutlicht die sich entwickelnde Landschaft der Cybersicherheitsbedrohungen für macOS und unterstreicht die Notwendigkeit für Benutzer, wachsam gegenüber potenziellen Malware- und Phishing-Angriffen zu bleiben, da sie zunehmend zum Ziel ausgefeilter Cyberkriminalitätstaktiken werden.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney
