Исследователи Elastic Security Labs обнаружили новую малварь, ориентированную на пользователей macOS. Стилер Banshee (Banshee Stealer) продается в даркнете за 3000 долларов США в месяц и нацелен на архитектуры x86_64 и ARM64.
«Стилер Banshee атакует широкий спектр браузеров, криптовалютных кошельков и около 100 расширений для браузеров, что делает его весьма универсальной и опасной угрозой», — рассказывают специалисты.
Так, в число браузеров и криптовалютных кошельков, на которые нацелена малварь, входят: Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic и Ledger. Как правило, вредонос похищает файлы cookie, учетные данные и историю посещений, но в Safari он может собрать только файлы cookie.
Также Banshee способен собирать системную информацию и данные из iCloud Keychain и Notes, и может определять, не работает ли он в виртуальной среде (в попытке избежать обнаружения с помощью ряда антиотладочных мер).
При этом в отчете отмечается, что Banshee использует API CFLocaleCopyPreferredLanguages, чтобы не атаковать системы, где русский язык является основным.
Как и другая малварь для macOS (например, Cuckoo и MacStealer), Banshee использует osascript для отображения поддельного запроса пароля, чтобы обманом вынудить пользователя ввести свой пароль, что в итоге позволяет вредоносу повысить привилегии.
Среди других функций малвари исследователи отмечают возможность сбора данных из различных файлов с расширениями .txt, .docx, .rtf, .doc, .wallet, .keys и .key из папок Desktop и Documents. Собранные таким образом данные передаются в формате ZIP-архива на удаленный сервер злоумышленников (45.142.122[.]92/send/).
«Хотя Banshee Stealer не слишком сложен по своей структуре, его нацеленность на системы macOS и широта собираемых им данных делают его серьезной угрозой, требующей внимания со стороны ИБ-сообщества», — заключают исследователи.