Изследователи в областта на киберсигурността са открили нов зловреден софтуер за кражба, който е предназначен специално за системи Apple macOS.
Наречен Banshee Stealer, той се предлага за продажба в киберпрестъпния ъндърграунд на високата цена от 3000 долара на месец и работи както на архитектури x86_64, така и на ARM64.
„Banshee Stealer е насочен към широк спектър от браузъри, портфейли за криптовалути и около 100 разширения за браузъри, което го прави изключително гъвкава и опасна заплаха“, се казва в доклад на Elastic Security Labs от четвъртък.
Уеб браузърите и крипто портфейлите, към които е насочен зловредният софтуер, включват Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic и Ledger.
Тя е оборудвана и с възможност за събиране на системна информация и данни от паролите и бележките от iCloud Keychain, както и с включване на множество мерки срещу анализ и отстраняване на грешки, за да се определи дали работи във виртуална среда в опит да избегне откриване.
Освен това той използва API CFLocaleCopyPreferredLanguages, за да избегне заразяването на системи, в които руският език е основен.
Подобно на други щамове на зловреден софтуер за macOS, като Cuckoo и MacStealer, Banshee Stealer също използва osascript, за да показва фалшиво подканване за парола, за да подмами потребителите да въведат системните си пароли за повишаване на привилегиите.
Сред другите забележителни функции е възможността за събиране на данни от различни файлове, съответстващи на разширенията .txt, .docx, .rtf, .doc, .wallet, .keys и .key от папките Desktop и Documents. След това събраните данни се ексфилтрират във формат ZIP архив към отдалечен сървър („45.142.122[.]92/send/“).
„Тъй като macOS все повече се превръща в основна цел за киберпрестъпниците, Banshee Stealer подчертава нарастващото наблюдение на специфичен за macOS зловреден софтуер“, казват от Elastic.
Разкритието идва в момент, в който Hunt.io и Kandji подробно описаха друг щам на macOS stealer, който използва SwiftUI и API на Apple Open Directory за улавяне и проверка на пароли, въведени от потребителя във фалшив подкана, показван с цел завършване на процеса на инсталиране.
„Започва със стартиране на Swift-базиран дропър, който показва фалшив подкана за парола, за да заблуди потребителите“, заяви Symantec, собственост на Broadcom. „След като прихване идентификационните данни, зловредният софтуер ги проверява, като използва API на OpenDirectory, и впоследствие изтегля и изпълнява зловредни скриптове от сървър за управление и контрол.“
Това развитие следва и продължаващата поява на нови крадци за Windows, като Flame Stealer, дори когато за разпространението на Braodo Stealer се използват фалшиви сайтове, маскирани като инструмента за изкуствен интелект (ИИ) за преобразуване на текст във видео на OpenAI – Sora.
Отделно от това израелските потребители са обект на фишинг имейли, съдържащи прикачени файлове с архиви RAR, които се представят за Calcalist и Mako, за да доставят Rhadamanthys Stealer.
Translated with www.DeepL.com/Translator (free version)
