Το κακόβουλο λογισμικό Banshee 2.0, ένας infostealer που στοχεύει το macOS, αποφεύγει τον εντοπισμό προστασίας από ιούς χρησιμοποιώντας έναν μηχανισμό κρυπτογράφησης που προέρχεται από το προϊόν προστασίας από ιούς XProtect της Apple. Αυτή η παραλλαγή έχει εξαπλωθεί κυρίως στις ρωσικές αγορές εγκλήματος στον κυβερνοχώρο από την εισαγωγή της τον Ιούλιο.
Το κακόβουλο λογισμικό Banshee 2.0 χρησιμοποιεί την κρυπτογράφηση της Apple για να αποφύγει τον εντοπισμό
Το κακόβουλο λογισμικό Banshee 2.0, με τιμή 1.500 $ ως «κλέφτης ως υπηρεσία», έχει σχεδιαστεί για να κλέβει διαπιστευτήρια από διάφορα προγράμματα περιήγησης όπως το Google Chrome, το Brave, το Microsoft Edge, το Vivaldi, το Yandex και το Opera, παράλληλα με τις επεκτάσεις του προγράμματος περιήγησης για πορτοφόλια κρυπτονομισμάτων όπως Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum και Exodus. Συγκεντρώνει επίσης πρόσθετες πληροφορίες συστήματος, όπως προδιαγραφές λογισμικού και υλικού, καθώς και τον κωδικό πρόσβασης macOS που απαιτείται για το ξεκλείδωμα του συστήματος.
Η αρχική έκδοση του Banshee εντοπιζόταν συχνά από λογισμικό προστασίας από ιούς λόγω της συσκευασίας απλού κειμένου του. Ωστόσο, μια πιο ισχυρή παραλλαγή εμφανίστηκε στις 26 Σεπτεμβρίου, χρησιμοποιώντας τον ίδιο αλγόριθμο κρυπτογράφησης με το εργαλείο προστασίας από ιούς Xprotect της Apple, επιτρέποντάς του να αποφύγει τον εντοπισμό για σχεδόν δύο μήνες. Έρευνα σημείου ελέγχου θεμελιώ ότι ενώ οι περισσότερες λύσεις προστασίας από ιούς στο VirusTotal επισήμαναν τα αρχικά δείγματα Banshee απλού κειμένου, η πρόσφατα κρυπτογραφημένη έκδοση πέρασε απαρατήρητη από περίπου 65 μηχανές προστασίας από ιούς.
Η πηγή της τεχνικής κρυπτογράφησης παραμένει ασαφής, αν και ο αντίστροφος μηχανικός του Check Point, Αντώνης Τερεφός, υπέθεσε ότι ο δημιουργός κακόβουλου λογισμικού, γνωστός ως “0xe1” ή “kolosain”, μπορεί να είχε αναστρέψει τα δυαδικά αρχεία XProtect ή να είχε πρόσβαση σε σχετικές δημοσιεύσεις. Αυτή η νέα κρυπτογράφηση επέτρεψε στο Banshee να αποκρύψει αποτελεσματικά τη λειτουργικότητά του.
«Θα μπορούσε να είναι ότι έκαναν μια αντίστροφη μηχανική των δυαδικών αρχείων XProtect, ή ακόμη και διάβασαν σχετικές δημοσιεύσεις, αλλά δεν μπορούμε να το επιβεβαιώσουμε. Μόλις γίνει γνωστή η κρυπτογράφηση συμβολοσειρών του macOS XProtect – που σημαίνει ότι ο τρόπος με τον οποίο το antivirus αποθηκεύει τους κανόνες YARA είναι αντίστροφη μηχανική – οι φορείς απειλών μπορούν εύκολα να «επαναλάβουν» την κρυπτογράφηση συμβολοσειρών για κακόβουλους σκοπούς», δήλωσε ο Αντώνης Τερεφός, μηχανικός αντίστροφης λειτουργίας στο Check Point Research. αξιώσεις.
Εκστρατείες και μέθοδοι διανομής
Από τα τέλη Σεπτεμβρίου, η Check Point Research έχει παρακολουθήσει περισσότερες από 26 καμπάνιες που χρησιμοποιούν το Banshee, κατηγοριοποιημένες σε δύο κύριες ομάδες. Η πρώτη ομάδα αποτελούνταν από καμπάνιες αποθετηρίου GitHub που ευδοκίμησαν από τα μέσα Οκτωβρίου έως τις αρχές Νοεμβρίου, προωθώντας σπασμένες εκδόσεις δημοφιλούς λογισμικού παράλληλα με το κακόβουλο λογισμικό Banshee κρυμμένο κάτω από γενικά ονόματα αρχείων όπως “Setup”, “Installer” και “Update”. Αυτά τα αποθετήρια στόχευαν επίσης χρήστες των Windows με το Lumma Stealer.
Η δεύτερη κατηγορία περιελάμβανε ιστότοπους phishing όπου οι επιτιθέμενοι μεταμφιέστηκαν το Banshee 2.0 ως δημοφιλές λογισμικό, συμπεριλαμβανομένων των Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT και Telegram. Οι χρήστες στο macOS κατευθύνθηκαν να κατεβάσουν συνδέσμους για το κακόβουλο ωφέλιμο φορτίο.
Στις 23 Νοεμβρίου, ο πηγαίος κώδικας για το Banshee διέρρευσε στο ρωσικό φόρουμ του σκοτεινού ιστού XSS, ωθώντας τον συγγραφέα του να σταματήσει τη λειτουργία του. Παρά τη διαρροή, το Check Point συνεχίζει να παρακολουθεί συνεχιζόμενες καμπάνιες που διανέμουν το Banshee μέσω μεθόδων phishing που μεταμφιέζονται ως νόμιμο λογισμικό, δίνοντας έμφαση στη συνεχιζόμενη απειλή του κακόβουλου λογισμικού για τους χρήστες macOS.
Η επιτυχία του κακόβουλου λογισμικού Banshee 2.0 απεικονίζει το εξελισσόμενο τοπίο των απειλών για την κυβερνοασφάλεια που στοχεύουν το macOS, υπογραμμίζοντας την ανάγκη οι χρήστες να διατηρούν επαγρύπνηση έναντι πιθανών επιθέσεων κακόβουλου λογισμικού και phishing καθώς γίνονται όλο και περισσότερο στόχοι εξελιγμένων τακτικών κυβερνοεγκληματικότητας.
Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
