O malware Banshee 2.0, um infostealer direcionado ao macOS, evita a detecção de antivírus empregando um mecanismo de criptografia extraído do produto antivírus XProtect da Apple. Esta variante espalhou-se principalmente pelos mercados russos de crimes cibernéticos desde a sua introdução em julho.
Malware Banshee 2.0 usa criptografia da Apple para evitar detecção
O malware Banshee 2.0, ao preço de US$ 1.500 como um “ladrão como serviço”, foi projetado para roubar credenciais de vários navegadores, incluindo Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex e Opera, juntamente com extensões de navegador para carteiras de criptomoedas como Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum e Exodus. Ele também coleta informações adicionais do sistema, como especificações de software e hardware e a senha do macOS necessária para desbloquear o sistema.
A versão inicial do Banshee era frequentemente detectada por software antivírus devido ao seu pacote de texto simples. No entanto, uma variante mais potente surgiu em 26 de setembro, utilizando o mesmo algoritmo de criptografia da ferramenta antivírus Xprotect da Apple, permitindo evitar a detecção por quase dois meses. Pesquisa de ponto de verificação encontrado que, embora a maioria das soluções antivírus no VirusTotal sinalizasse as amostras iniciais do Banshee em texto simples, a versão recém-criptografada passou despercebida por aproximadamente 65 mecanismos antivírus.
A fonte da técnica de criptografia permanece obscura, embora o engenheiro reverso da Check Point, Antonis Terefos, tenha especulado que o autor do malware, conhecido como “0xe1” ou “kolosain”, pode ter feito engenharia reversa de binários XProtect ou acessado publicações relevantes. Essa criptografia recém-descoberta permitiu ao Banshee ocultar sua funcionalidade de maneira eficaz.
“Pode ser que eles tenham realizado uma engenharia reversa dos binários do XProtect, ou até mesmo lido publicações relevantes, mas não podemos confirmar. Assim que a criptografia de string do macOS XProtect se tornar conhecida – o que significa que a maneira como o antivírus armazena as regras YARA é submetida a engenharia reversa – os agentes da ameaça podem facilmente ‘reimplementar’ a criptografia de string para fins maliciosos”, Antonis Terefos, engenheiro reverso da Check Point Research, reivindicações.
Campanhas e métodos de distribuição
Desde o final de setembro, a Check Point Research acompanhou mais de 26 campanhas utilizando o Banshee, categorizadas em dois grupos principais. O primeiro grupo consistia em campanhas de repositórios GitHub que prosperaram de meados de outubro ao início de novembro, promovendo versões crackeadas de softwares populares junto com o malware Banshee escondido sob nomes de arquivos genéricos como “Configuração”, “Instalador” e “Atualização”. Esses repositórios também tinham como alvo usuários do Windows com o Lumma Stealer.
A segunda categoria envolveu sites de phishing onde os invasores disfarçaram o Banshee 2.0 como software popular, incluindo Google ChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT e Telegram. Os usuários do macOS foram direcionados para baixar links para a carga maliciosa.
Em 23 de novembro, o código-fonte do Banshee vazou no fórum russo da dark web XSS, levando seu autor a encerrar as operações. Apesar do vazamento, a Check Point continua observando campanhas em andamento distribuindo o Banshee por meio de métodos de phishing disfarçados de software legítimo, enfatizando a ameaça contínua do malware aos usuários do macOS.
O sucesso do malware Banshee 2.0 ilustra o cenário em evolução das ameaças à segurança cibernética direcionadas ao macOS, ressaltando a necessidade dos usuários manterem vigilância contra possíveis malwares e ataques de phishing à medida que se tornam cada vez mais alvos de táticas cibercriminosas sofisticadas.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
