Siber güvenlik araştırmacıları, özellikle Apple macOS sistemlerini hedef almak üzere tasarlanmış yeni bir hırsız kötü amaçlı yazılım ortaya çıkardı.
Banshee Stealer adı verilen bu yazılım, siber suç dünyasında aylık 3.000 dolar gibi yüksek bir fiyata satışa sunuluyor ve hem x86_64 hem de ARM64 mimarilerinde çalışıyor.
Elastic Security Labs, perşembe günü yayınladığı raporda, “Banshee Stealer çok çeşitli tarayıcıları, kripto para cüzdanlarını ve yaklaşık 100 tarayıcı uzantısını hedef alıyor, bu da onu oldukça çok yönlü ve tehlikeli bir tehdit haline getiriyor” dedi.
Kötü amaçlı yazılımın hedef aldığı web tarayıcıları ve kripto cüzdanları arasında Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic ve Ledger yer alıyor.
Ayrıca iCloud Keychain parolaları ve Notlar’dan sistem bilgilerini ve verilerini toplamak ve tespit edilmekten kaçınmak için sanal bir ortamda çalışıp çalışmadığını belirlemek üzere bir dizi anti-analiz ve anti-hata ayıklama önlemi kullanmak üzere donatılmıştır.
Ayrıca Rusçanın birincil dil olduğu sistemlere bulaşmayı önlemek için CFLocaleCopyPreferredLanguages API’sinden yararlanır.
Cuckoo ve MacStealer gibi diğer macOS kötü amaçlı yazılım türleri gibi, Banshee Stealer da kullanıcıları ayrıcalık yükseltme amacıyla sistem parolalarını girmeye kandırmak için sahte bir parola istemi görüntülemek amacıyla osascript’i kullanır.
Diğer dikkat çekici özellikler arasında Masaüstü ve Belgeler klasörlerinden .txt, .docx, .rtf, .doc, .wallet, .keys ve .key uzantılarıyla eşleşen çeşitli dosyalardan veri toplama yeteneği yer alır. Toplanan veriler daha sonra bir ZIP arşivi biçiminde uzak bir sunucuya (“45.142.122[.]92/gönder/”).
Elastic, “macOS giderek siber suçlular için birincil hedef haline gelirken, Banshee Stealer macOS’a özgü kötü amaçlı yazılımların giderek daha fazla görüldüğünü gösteriyor” dedi.
Açıklama, Hunt.io ve Kandji’nin, kurulum sürecini tamamlamak için kullanıcının girdiği parolaları sahte bir istemde yakalayıp doğrulamak için SwiftUI ve Apple’ın Açık Dizin API’lerini kullanan başka bir macOS hırsızı türünü ayrıntılı olarak açıklamasının ardından geldi.
Broadcom’a ait Symantec, “Kullanıcıları aldatmak için sahte bir parola istemi görüntüleyen Swift tabanlı bir dropper çalıştırarak başlıyor,” dedi. “Kötü amaçlı yazılım, kimlik bilgilerini yakaladıktan sonra bunları OpenDirectory API’sini kullanarak doğruluyor ve ardından bir komut ve kontrol sunucusundan kötü amaçlı komut dosyalarını indiriyor ve yürütüyor.”
Bu gelişme, Flame Stealer gibi yeni Windows tabanlı hırsızların ortaya çıkmaya devam etmesinin yanı sıra, Braodo Stealer’ı yaymak için OpenAI’nin metinden videoya yapay zeka (AI) aracı Sora gibi görünen sahte sitelerin kullanılmasıyla da takip ediliyor.
Ayrıca İsrailli kullanıcılara, Rhadamanthys Stealer’ı teslim etmek için Calcalist ve Mako gibi görünen RAR arşiv ekleri içeren kimlik avı e-postaları gönderiliyor.