O Banshee Stealer foi registrado pela primeira vez em agosto de 2024, pela companhia Elastic Security Labs. O malware é oferecido por US$ 3 mil por mês aos cibercriminosos, atuando em um modelo de malware-as-a-service (MaaS).
Na prática, a ameaça atua para roubar dados de navegadores web, carteiras de criptomoedas e arquivos de extensões específicas. Embora ela seja originalmente focada em dispositivos Apple, os usuários de Windows também estão na mira dos cibercriminosos.
A ameaça sofreu um baque no final de 2024, mas voltou à ativa
Vale destacar que o Banshee Stealer sofreu um impasse em novembro de 2024, quando o código-fonte do malware foi vazado na internet, levando ao encerramento das operações. No entanto, a companhia de cibersegurança Check Point identificou múltiplas campanhas que ainda estão distribuindo a ameaça através de sites de phishing, embora ainda não se saiba se elas são conduzidas por “clientes” antigos do pacote de malware.
As campanhas atuais visam usuários do sistema macOS com o próprio Banshee, enquanto simultaneamente atacam usuários do Windows com outro malware famoso conhecido como “Lumma Stealer”.
👉🏽 Todo esse cenário sugere que os cibercriminosos estão atuando de forma agressiva, buscando comprometer o maior número possível de sistemas.
Nova variante do Banshee dribla antivírus com criptografia inspirada no XProtect da Apple
Recentemente, uma nova (e mais sofisticada) variante do malware foi descoberta por pesquisadores da Check Point.
“Antes considerado inativo após o vazamento do código-fonte no final de 2024, esta nova iteração introduz criptografia avançada de strings inspirada no XProtect da Apple”, afirmou a Check Point Research ao portal The Hacker News. “Este desenvolvimento permite que ele ignore os sistemas antivírus, representando um risco significativo para mais de 100 milhões de usuários do macOS globalmente.”
A empresa de segurança cibernética disse que detectou a nova versão no final de setembro de 2024, com o malware distribuído usando sites de phishing e repositórios GitHub falsos sob o disfarce de softwares populares como Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT e Telegram.
Vale notar que a nova variante se destaca por remover uma ferramenta de checagem de linguagem utilizada para evitar infecções em Macs que têm o russo como língua padrão do sistema. Essa ação indica que os hackers estão buscando ampliar sua rede de potenciais alvos.
Outra atualização de destaque é o uso de um algoritmo de criptografia de string do antivírus XProtect da Apple para ofuscar as strings de texto simples usadas na versão original do Banshee Stealer. Isso teve como resultado diminuir a detecção por mecanismos antivírus por mais de dois meses.
“As campanhas de malware modernas estão explorando vulnerabilidades humanas comuns, não apenas falhas específicas de plataformas”, afirmou Eli Smadja, gerente do da Check Point Research, em declaração ao The Hacker News. “O MacOS, como qualquer outro sistema operacional, está exposto a essas ameaças em evolução, especialmente porque os cibercriminosos empregam técnicas avançadas como engenharia social e atualizações falsas de software.”
Com informações de: The Hacker News
Imagem: Freepik
