MacOS bilgi hırsızı “Banshee”nin, Apple’dan çaldığı bir dize şifreleme algoritmasını kullanarak antivirüs programları tarafından kaydığı görüldü.
Banshee, Temmuz ayından bu yana, öncelikle Mac’ler için 1.500 dolarlık “hizmet olarak hırsız” olarak satıldığı Rus siber suç pazarları aracılığıyla yayılıyor. Şu şekilde tasarlanmıştır: tarayıcılardan kimlik bilgilerini çalmak — Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex ve Opera — ve kripto para birimi cüzdanlarıyla ilişkili tarayıcı uzantıları — Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum ve Exodus. Ayrıca, yazılım ve donanım özellikleri ile sistemin kilidini açmak için gereken parola da dahil olmak üzere hedeflenen sistemler hakkında ek bilgileri kaldırır.
Kısmen tamamen düz metin olarak paketlenmiş olması sayesinde, antivirüs programları tarafından yaygın olarak algılanan mükemmel bir araç olmaktan çok uzaktı. Ancak 26 Eylül’de Check Point’teki araştırmacılar daha güçlü bir varyantı gözlemlediler. Bu daha başarılı varyant, esasen şifrelenmiş olması nedeniyle aylarca fark edilmeden kaldı. Apple’ın Xprotect’i tarafından kullanılan algoritmanın aynısı için antivirüs aracı macOS.
Banshee Kötü Amaçlı Yazılım XProtect’ten Çalıyor
XProtect, Apple’ın macOS için on beş yıllık kötü amaçlı yazılımdan koruma motorudur. Kötü amaçlı yazılımları tespit etmek ve engellemek için, bilinen tehditlerle ilişkili kalıpları ve imzaları içeren YARA kuralları da dahil olmak üzere antivirüs için çeşitli yöntem ve araçları birleştiren “Remediator” ikili dosyalarını kullanır.
Check Point, XProtect’in YARA kurallarını koruyan aynı şifreleme algoritmasının aynı zamanda Banshee’nin Eylül versiyonunu da gizlediğini buldu.
Kötü amaçlı yazılım yazarının (takma adı “0xe1” veya “kolosain”) bu algoritmaya nasıl erişim sağladığı açık değil.
Check Point Research’te tersine mühendis olan Antonis Terefos, “XProtect ikili dosyalarında tersine mühendislik yapmış olabilirler, hatta ilgili yayınları okumuş olabilirler, ancak bunu doğrulayamıyoruz” diye tahminde bulunuyor. “MacOS XProtect’in dize şifrelemesi öğrenildiğinde, yani antivirüsün YARA kurallarını saklama şekli tersine mühendislikten geçirildiğinde, tehdit aktörleri dize şifrelemeyi kötü amaçlı amaçlarla kolayca ‘yeniden uygulayabilir'” diyor.
Her iki durumda da etki önemliydi. “VirusTotal’daki antivirüs çözümlerinin çoğunluğu ilk Banshee örneklerini düz metin kullanarak tespit etti, ancak geliştirici bu yeni dize şifreleme algoritmasını tanıttıktan sonra VirusTotal’daki yaklaşık 65 antivirüs motorundan hiçbiri bunu tespit etmedi” diyor.
Yaklaşık iki ay kadar bu durum devam etti. Daha sonra 23 Kasım’da Banshee’nin kaynak kodu Rusça siber suç forumu “XSS”de sızdırıldı. 0xe1, hizmet olarak kötü amaçlı yazılım (MaaS) operasyonunu durdurdu ve antivirüs satıcıları, zamanı gelince ilgili YARA kurallarını dahil etti. Ancak Terefos, bu noktadan sonra bile şifrelenmiş Banshee’nin VirusTotal’daki çoğu motor tarafından tespit edilmediğini bildiriyor.
Banshee Stealer Siber Saldırılarda Nasıl Yayılıyor?
Eylül ayının sonlarından bu yana Check Point, Banshee’yi yayan 26’dan fazla kampanya tespit etti. Genel olarak iki gruba ayrılabilirler.
Ekim ortasından Kasım başına kadar süren üç kampanya dalgasında tehdit aktörleri, bilgi hırsızlığını GitHub depoları aracılığıyla yaydı. Depolar, kullanıcılara Adobe programları ve çeşitli görüntü ve video düzenleme araçları gibi popüler yazılımların kırık sürümlerini vaat ediyordu. Kötü amaçlı yazılım, “Kurulum”, “Yükleyici” ve “Güncelleme” gibi genel dosya adlarının arkasına gizlenmişti. Aynı faaliyet kümesi, popüler Lumma Stealer ile Windows kullanıcılarını da hedef alıyordu.
Geri kalan kampanyalar Banshee’yi kimlik avı siteleri aracılığıyla şu veya bu şekilde yayıyor. Bu durumlarda saldırganlar, kötü amaçlı yazılımı Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT ve Telegram gibi çeşitli popüler yazılım programları olarak gizlediler. Bir ziyaretçi macOS kullanıyorsa bir indirme bağlantısı alırdı.
Artık Banshee sızdırıldığına göre daha fazla ve farklı kampanyalar yolda olabilir. Dolayısıyla Terefos şöyle diyor: “MacOS’un geleneksel olarak daha güvenli olarak görülmesine rağmen, Banshee’nin başarısı, macOS kullanıcılarının dikkatli kalmasının ve güvenlik önlemlerinin farkında olmasının önemini gösteriyor.” tehditler“