Check Point araştırmacısı Antonis Terefos’a göre Banshee Stealer, Rusça konuşulan ülkeler de dahil olmak üzere dünya çapında artan sayıda macOS kullanıcısına yönelik gizli bir tehdit oluşturuyor.
Banshee Stealer’ın profili ilk kez Ağustos 2024’te, geliştiricisinin onu ayda 3.000 $ gibi yüksek bir fiyata Hizmet olarak satmaya başlamasından bir ay sonra açıklandı.
Kötü amaçlı yazılım, hem macOS x86_64 hem de ARM64 mimarilerinde çalışabilme kapasitesine sahiptir ve kripto para birimi cüzdanları ve 2 faktörlü kimlik doğrulama için popüler tarayıcılar ve tarayıcı uzantıları tarafından saklanan kimlik bilgileri ve çerezlerin yanı sıra kullanıcıların macOS şifrelerini de yakalayabilir/çalabilir, böylece hassas bilgileri ele geçirebilir sistemin Anahtar Zincirinde saklanan veriler.
Başlangıçta kötü amaçlı yazılım, Rusça’nın ana dil olduğu sistemlere bulaşmasını önlemek için yapıldı, ancak Terefos’a göre, Rusça dil kontrolü olmayan bir varyant da artık potansiyel kurbanlara da gönderiliyor.
Kötü amaçlı yazılım gelişimi ve kaynak kodu sızıntısı
“Temmuz ayından kasım ayına kadar Banshee’nin yazarı, Telegram’da ve XSS ve Exploit gibi karanlık web forumlarında hizmet olarak hırsızı çalıştırdı ve kötü amaçlı yazılımı geliştirmeye devam etti. Bu süre zarfında yazar, macOS kullanıcılarını hedef alan kampanyaları yürütmek için iki üyeyi işe aldı” diye açıkladı.
Ancak Kasım ayının sonlarında kötü amaçlı yazılımın kaynak kodu internete sızdırıldı ve arkasındaki kişi veya grup faaliyetlerini durdurdu.
Bundan önce geliştirici, bilinen kötü amaçlı yazılımları ve türevlerini tespit eden, macOS’un imza tabanlı kötü amaçlı yazılımdan koruma motoru XProtect tarafından kullanılan dize şifrelemeyi sunarak hırsızın gizliliğini artırdı. Ve bu yöntem iki aydan fazla bir süre işe yaradı; ta ki kaynak kodu sızıntısı antivirüs motorları tarafından daha iyi tespit edilinceye kadar.
“Tehdit aktörleri bu yeni sürümü çoğunlukla kimlik avı web siteleri ve kötü amaçlı GitHub depoları aracılığıyla dağıttı. Bazı GitHub kampanyalarında tehdit aktörleri Lumma ve Banshee Stealer ile hem Windows hem de macOS kullanıcılarını hedef aldı” diyor Terefos.
Ancak sızıntıdan sonra bile tehdit devam ediyor: Check Point, kötü amaçlı yazılımı kimlik avı web siteleri aracılığıyla dağıtmaya devam eden ve görünüşte popüler yazılımları (Telegram, TradingView, Parallels vb.) indirilmek üzere sunan birden fazla kampanya tespit etti.
MacOS’u hedef alan kimlik avı sitesi (Kaynak: Check Point Research)
“Bir kurbanın kimlik avı web sitesine nasıl ulaştığı şu anda belirsiz; ancak yasal olmayan kaynaklardan crackli veya araç indirmeye çalışan kullanıcılar bu tür saldırıların hedefi oluyor. Sürekli olarak güncellenen benzer kimlik avı web sitelerinin dağıtıldığı tespit edildi .dmg dosyalar,” diye ekledi Terefos.
“Kalan kampanyaların önceki müşterilerden mi geldiği yoksa Banshee’nin yaratıcısının sürekli olarak kaynak kodunu güncelleyip güncellemediği ve kötü amaçlı yazılımı XSS’de macOS kampanyalarını yürütmek için kiralanan özel grubun bir parçası olarak mı kullandığı belli değil.”
Ancak kaynak kodun sızdırılmasıyla birlikte diğer kötü amaçlı yazılım geliştiricilerinin yeni macOS hırsızlarını Banshee’ye dayandıracağından korkuluyor. 100 milyondan fazla macOS kullanıcısı varken, olası hedef havuzu oldukça büyük ve kesinlikle cazip.