Изследователи в областта на киберсигурността са открили нов зловреден софтуер за кражба, който е предназначен специално за системи Apple macOS.
Наречен Banshee Stealer, той се предлага за продажба в киберпрестъпния ъндърграунд на високата цена от 3000 долара на месец и работи както на архитектури x86_64, така и на ARM64.
„Banshee Stealer е насочен към широк спектър от браузъри, портфейли за криптовалути и около 100 разширения за браузъри, което го прави изключително гъвкава и опасна заплаха“, се казва в доклад на Elastic Security Labs от четвъртък.
Уеб браузърите и крипто портфейлите, към които е насочен зловредният софтуер, включват Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic и Ledger.
Тя е оборудвана и с възможност за събиране на системна информация и данни от паролите и бележките от iCloud Keychain, както и с включване на множество мерки срещу анализ и отстраняване на грешки, за да се определи дали работи във виртуална среда в опит да избегне откриване.
Освен това той използва API CFLocaleCopyPreferredLanguages, за да избегне заразяването на системи, в които руският език е основен.
Подобно на други щамове на зловреден софтуер за macOS, като Cuckoo и MacStealer, Banshee Stealer също използва osascript, за да показва фалшиво подканване за парола, за да подмами потребителите да въведат системните си пароли за повишаване на привилегиите.
Сред другите забележителни функции е възможността за събиране на данни от различни файлове, съответстващи на разширенията .txt, .docx, .rtf, .doc, .wallet, .keys и .key от папките Desktop и Documents. След това събраните данни се ексфилтрират във формат ZIP архив към отдалечен сървър („45.142.122[.]92/send/“).
„Тъй като macOS все повече се превръща в основна цел за киберпрестъпниците, Banshee Stealer подчертава нарастващото наблюдение на специфичен за macOS зловреден софтуер“, казват от Elastic.
Разкритието идва в момент, в който Hunt.io и Kandji подробно описаха друг щам на macOS stealer, който използва SwiftUI и API на Apple Open Directory за улавяне и проверка на пароли, въведени от потребителя във фалшив подкана, показван с цел завършване на процеса на инсталиране.
„Започва със стартиране на Swift-базиран дропър, който показва фалшив подкана за парола, за да заблуди потребителите“, заяви Symantec, собственост на Broadcom. „След като прихване идентификационните данни, зловредният софтуер ги проверява, като използва API на OpenDirectory, и впоследствие изтегля и изпълнява зловредни скриптове от сървър за управление и контрол.“
Това развитие следва и продължаващата поява на нови крадци за Windows, като Flame Stealer, дори когато за разпространението на Braodo Stealer се използват фалшиви сайтове, маскирани като инструмента за изкуствен интелект (ИИ) за преобразуване на текст във видео на OpenAI – Sora.
Отделно от това израелските потребители са обект на фишинг имейли, съдържащи прикачени файлове с архиви RAR, които се представят за Calcalist и Mako, за да доставят Rhadamanthys Stealer.
Translated with www.DeepL.com/Translator (free version)
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.