A Check Point Research, divisão de Inteligência em Ameaças Check Point Software Technologies, descobriu uma nova versão e ainda mais oculta do Banshee Stealer para macOS, inicialmente relatada no final de 2024. Uma das inovações observadas na versão mais recente deste malware de roubo de informações (infostealer) foi a introdução de criptografia de sequência de caracteres (strings), retirada do XProtect da Apple. Isso provavelmente fez com que os sistemas de detecção de antivírus ignorassem o malware, tornando-o uma ameaça mais potente para os usuários.
Embora o código-fonte do Banshee Stealer tenha vazado em novembro de 2024 e sua operação tenha sido oficialmente encerrada, os pesquisadores da CPR identificaram campanhas ativas distribuindo o malware por meio de sites de phishing. Para agravar a ameaça, uma nova versão do Banshee foi detectada, com capacidade de roubar dados sensíveis e informações de carteiras de criptomoedas de usuários de macOS.
Com o aumento da popularidade dos dispositivos macOS, que hoje contam com um número de usuários de macOS ultrapassando 100 milhões, eles estão se tornando alvos prioritários para cibercriminosos. O aumento de ameaças sofisticadas como o Banshee macOS Stealer destaca a importância de atenção redobrada e medidas proativas de segurança cibernética.
Essa descoberta traz luz ao perigo contínuo de malwares cujo código foi vazado, que continuam alimentando ataques cibernéticos mesmo após o encerramento oficial de suas operações. À medida que cresce o uso de carteiras de criptomoedas em dispositivos macOS, torna-se ainda mais crucial que os usuários adotem medidas proativas de cibersegurança. Embora o XProtect forneça uma defesa valiosa, a sofisticação crescente dos malwares exige maior vigilância e camadas adicionais de segurança para proteger contra ameaças emergentes.
Como o Banshee Stealer opera
A funcionalidade do malware revela uma sofisticação no ataque. Uma vez instalado, ele:
Rouba dados do sistema: Alvo de navegadores como Chrome, Brave, Edge e Vivaldi, além de extensões de navegador para carteiras de criptomoedas. Explora uma extensão de autenticação em dois fatores (2FA) para capturar credenciais sensíveis. Também coleta detalhes de software e hardware, endereços IP externos e senhas do macOS.
Engana os usuários: Utiliza pop-ups convincentes que se parecem com prompts legítimos do sistema para enganar os usuários e induzi-los a inserir suas senhas do macOS.
Evita detecção: Emprega técnicas contra análises para escapar de ferramentas de depuração e mecanismos de antivírus.
Exfiltra dados: Envia as informações roubadas para servidores de comando e controle por meio de arquivos criptografados e codificados.
