Araştırmacılar, Banshee macOS Stealer örneğinin başlangıçta çoğu antivirüs motoru tarafından tespit edilmekten kaçan yeni sürümlerini analiz etti; analiz, kötü amaçlı yazılımın benzersiz bir dize şifreleme tekniği kullandığını ortaya çıkardı.
Şifreleme yöntemi, Apple’ın XProtect antivirüs motorunun ikili dosyalar içindeki YARA kurallarını şifrelemek için kullandığı yöntemin aynısıydı. Banshee, bu paylaşılan şifreleme algoritmasından yararlanarak kritik dizeleri gizleyerek güvenlik çözümlerinin anında tespit etmesini engelledi.
Check Point araştırmacıları şunları ekledi: “MacOS, dünya çapında 100 milyondan fazla kullanıcısı ile popülerlik kazanmaya devam ettikçe, siber suçlular için giderek daha çekici bir hedef haline geliyor.”
Banshee, çatallanma ve süreç oluşturma gibi tespit edilmekten kaçınmak için anti-analiz tekniklerini kullanarak kullanıcı kimlik bilgilerini, tarayıcı verilerini ve kripto cüzdanlarını hedef alan hırsız bir kötü amaçlı yazılımdır.
Chrome, Brave, Edge, Vivaldi, Yandex ve Opera dahil olmak üzere çeşitli tarayıcılardan ve tarayıcı uzantılarından bilgi çalarken aynı zamanda belirli kripto cüzdan uzantılarını da hedef alıyor.
Çalınan veriler sıkıştırıldıktan sonra kampanya ID’si ile XOR şifrelenip base64 kodlanarak komuta kontrol sunucusuna sızdırılır.
C&C sunucusu, ayrı bir yönetici paneline sahip Django tabanlı bir sunucudan bot iletişimi için tek bir FastAPI uç noktasına kadar birçok yinelemeden geçti. Şu anda yönetici panelini barındıran sunucu, daha fazla gizlilik için Aktarma sunucularının arkasına gizlenmiştir.
Check Point Research, Banshee Stealer’ın MacOS kullanıcılarını hedef alan ve korsan yazılım sunuyormuş gibi davranan çok sayıda kimlik avı deposu aracılığıyla dağıtılan yeni bir sürümünü keşfetti.
Depolar, kötü amaçlı yazılım gönderilmeden ve kötü amaçlı yazılım verileri çalıp C&C sunucusuna göndermeden haftalar önce oluşturuldu. En son kampanya, MacOS kullanıcılarını hedeflemek için bir kimlik avı web sitesi kullanıyor ve kötü amaçlı yazılımı Telegram indirmesi görünümünde sunuyor.
@kolosain olarak bilinen bir tehdit aktörü, ilk olarak Banshee macOS hırsızını Telegram’da 2.999 dolara sattı. Daha sonra bunu XSS ve Exploit forumlarında ayda 1.500 dolara hizmet olarak sundular.
Aktör daha sonra özel bir grup için sınırlı sayıda vasıflı üyeyi işe alarak bir kar paylaşımı modeli sundu. Orijinal kaynak kodun sızdırılmasının ardından oyuncu, hizmeti kapatmadan önce projenin tamamını satmaya çalıştı.
Sızıntı, antivirüs yazılımının tespitinde artışa neden oldu, ancak aynı zamanda diğer aktörlerin yazılımın çatallarını ve yeni varyantlarını geliştirme olasılığını da artırdı.
Banshee macOS bilgi hırsızına yönelik dize şifrelemeyi içeren yakın zamanda yapılan bir kod güncellemesi, antivirüs yazılımı tarafından iki aydan fazla bir süre boyunca algılanmayı engellemeyi başardı.
Daha önce Windows’a odaklanan kötü niyetli aktörler artık gelişmiş kötü amaçlı yazılımlarla aktif olarak macOS’u hedef alıyor ve DMG dosyalarını ve korumasız arşivleri dağıtmak için GitHub gibi platformlardan yararlanıyor.
Proaktif tehdit istihbaratı ve işletim sistemleri ve uygulamalara yönelik zamanında güncellemeler de dahil olmak üzere, gelişen tehditlere uyum sağlayabilecek sağlam güvenlik çözümlerine duyulan ihtiyacı vurguluyor.
Kullanıcılar bu tehditlerle ilişkili riskleri azaltmak için dikkatli olmalı, beklenmeyen iletişimlere karşı dikkatli olmalı ve siber güvenlik farkındalığı eğitimlerine öncelik vermelidir.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free