Криптокошельки и пароли macOS под прицелом нового вредоноса Banshee
10/01/25
В последние месяцы исследователи компании Check Point отслеживают новую версию вредоносной программы Banshee, нацеленной на пользователей macOS. Этот инфостилер умеет похищать данные браузеров, криптокошельков и прочую конфиденциальную информацию с устройств. Основной особенностью обновления стала шифровка строк, заимствованная у системы XProtect, встроенной антивирусной защиты macOS.
Banshee распространяется через фишинговые сайты и вредоносные репозитории на GitHub, маскирующиеся под популярные программы. Злоумышленники также использовали Windows-ориентированный Lumma Stealer для расширения атак.
До ноября 2024 года данный сервис «стилер как услуга» оценивался в $3000 и активно рекламировался в Telegram и на форумах XSS и Exploit. Однако утечка исходного кода вынудила автора прекратить работу, хотя обновлённые версии всё ещё распространяются среди киберпреступников.
Для обхода анализа вредоносный код использует форки процессов, имитирует системные службы и работает в фоновом режиме. Среди целей — браузеры Chrome, Brave, Edge, Vivaldi, расширения для криптовалютных кошельков и двухфакторной аутентификации. Также программа запрашивает у пользователя ввод пароля через системные всплывающие окна, чтобы похитить ключевые данные.
Banshee нацелена на системы macOS, что подчёркивает изменение приоритетов киберпреступников. В целом, macOS долго считалась безопасной благодаря Unix-архитектуре и меньшей популярности, но рост её доли на рынке делает платформу более привлекательной для атак.
С сентября по ноябрь Banshee оставалась незамеченной антивирусами, что позволило злоумышленникам проводить успешные кампании. Позднее исходный код был раскрыт, что привело к обновлению правил обнаружения, но также создало риск появления новых форков вредоносной программы.
Репозитории на GitHub играли ключевую роль в распространении. Вредоносные кампании проводились в три волны, начиная с октября. Зловредные файлы маскировались под установщики популярных программ, таких как Telegram и TradingView. Некоторые сайты использовали определение операционной системы пользователя, чтобы направить только владельцев macOS на загрузку вредоносного файла.