网络安全研究人员发现了一种针对 macOS 的新型信息窃取恶意软件变种,隐蔽性更强,名为Banshee Stealer。
Check Point Research 在2024 年 9 月底检测到了这一新版本,并在最新的分析报告中表示:2024年底该恶意软件源代码泄露后,曾一度被认为已经沉寂,但新版本引入了受 Apple XProtect 启发的高级字符串加密技术。这一技术使其能够绕过防病毒系统,对全球超过1亿的 macOS 用户构成重大威胁。
Banshee Stealer 通常会伪装成Google Chrome 、Telegram 和 TradingView 等流行软件,通过钓鱼网站和虚假的 GitHub 存储库进行传播。2024年8月被Elastic Security Labs 首次记录在案,它以恶意软件即服务(MaaS)模式提供给其他网络犯罪分子,每月收费3000美元,能够从网络浏览器、加密货币钱包以及符合特定扩展名的文件中窃取数据。
2024年11月下旬,Banshee Stealer 源代码在网上泄露,导致运营关闭。然而,Check Point 仍然发现了多起通过钓鱼网站传播该恶意软件的活动,目前尚不清楚这些活动是否由之前的客户发起。
新变种的一个显著特点是移除了俄语检查功能,该功能用于阻止默认系统语言设置为俄语的 Mac 受到感染,放弃这一功能可能暗示威胁者正在试图扩大潜在目标范围。
另一个关键更新是使用了 Apple XProtect 防病毒引擎的字符串加密算法,以混淆 Banshee Stealer 原始版本中使用的明文字符串。
现代恶意软件活动正在利用人类的常见弱点,而不仅仅是特定平台的漏洞。
最近也出现了 Discord 上未经请求的消息被用来传播各种窃取信息的恶意软件家族的情况,比如Nova Stealer、Ageo Stealer和Hexon Stealer,通常是以测试新视频游戏为借口。
这些恶意软件的主要目标似乎是 Discord 凭证,这些凭证可以用来扩大被入侵账户的网络。
