Исследователи обнаружили новую версию стилера Banshee, предназначенного для macOS. Малварь больше не проверяет, установлен ли в зараженных системах русский язык, и уклоняется от обнаружения, используя шифрование строк из Apple XProtect.
Напомним, что Banshee представляет собой инфостилер, ориентированный на системы под управлением macOS. Впервые он был замечен в середине 2024 года. Тогда он работал по схеме стилер-как-услуга, мог собирать данные из браузеров, криптовалютных кошельков и файлов, соответствующих определенным критериям. Вредонос продавался в даркнете за 3000 долларов США в месяц.
В ноябре 2024 года на хак-форумах был опубликован исходный код стилера, после чего проект был закрыт, но у других преступников появилась возможность создать на основе Banshee собственное вредоносное ПО.
Как теперь сообщают эксперты компании Check Point, они обнаружили новый вариант Banshee, который активен до сих пор и применяет новый способ шифрования, что позволяет ему лучше уклоняться от обнаружения. Кроме того, эта версия стилера более не избегает систем, принадлежащих российским пользователям, то есть злоумышленники стремятся расширить спектр возможных целей для атак.
Apple XProtect — это технология обнаружения вредоносных программ, встроенная в macOS. Она использует набор правил, похожих на антивирусные сигнатуры, для выявления и блокировки известных угроз. Замеченная исследователями вариация Banshee использует алгоритм шифрования строк, который XProtect применяет для защиты собственных данных. Зашифровывая строки и расшифровывая их только во время выполнения, Banshee избегает стандартных статических методов обнаружения. Кроме того, специалисты полагают, что сама macOS и сторонние средства защиты тоже относятся к этому методу шифрования с меньшим подозрением, что позволяет стилеру дольше оставаться незамеченным.
Исследователи отмечают, что эта версия Banshee в основном распространяется через мошеннические репозитории на GitHub, якобы предлагающие различный софт. При этом операторы малвари также атакуют и пользователей Windows, но уже с помощью стилера Lumma.
