長久以來, macOS相關產品由于其整體市場份額占比不高,以及系統較為封閉的原因,用戶普遍認為相對于Windows生態,macOS更加安全。然而,隨著 macOS 越來越受歡迎,在全球已擁有超過 1 億活躍用戶。在剛剛出爐的IDC 2024年全球市場報告中可以看到,Apple已經成為全球第四大個人電腦供應商,其2024年度漲幅則位列前三。一個具有龐大用戶基數的操作生態系統無疑對不法分子有著強烈的誘惑。自2024年9月開始,Check Point Research (CPR) 一直在密切監控并揭露了惡意軟件 Banshee macOS Stealer,該軟件可以竊取瀏覽器憑證、加密貨幣錢包和其他敏感數據。Banshee macOS Stealer在隨后一段時間幾經升級“改頭換面”,因此Check Point安全專家希望通過一次深入的揭秘引起macOS用戶以及各企業與機構的關注,并且保持高度警惕同時采取主動網絡安全防護措施。
Check Point Research (CPR) 一直在監控這一針對 macOS 用戶的新興惡意軟件。以下是一些企業和用戶須知。
切勿盲目做出安全假設
許多企業與 macOS 用戶認為,由于該平臺采用基于 Unix 的架構,而且市場份額歷來較低,因此對網絡犯罪分子的吸引力較小,或會幸免于惡意軟件攻擊。雖然 macOS 具有 Gatekeeper、XProtect 和沙盒等多項強大的安全防護功能,但 Banshee Stealer 的出現提醒我們,任何操作系統都無法幸免于難。
這一隱蔽的惡意軟件不僅會侵入系統,而且還會暗中運行,與正常系統進程無縫融合,竊取瀏覽器憑證、加密貨幣錢包、用戶密碼和敏感文件數據。Banshee 的真正危害之處在于它能夠逃避檢測。即使是經驗豐富的 IT 專業人員也很難發現其存在。Banshee Stealer 不只是又一種惡意軟件,更是一個安全警告,警示用戶必須重新評估自己的安全假設,并采取主動防護措施來保護其數據。
Banshee Stealer 的演變:一種新型威脅
Banshee MacOS Stealer 于 2024 年年中首次引起公眾關注,當時它在 XSS 和 Exploit 等地下論壇以及 Telegram 上以“竊取程序即服務”的形式出售。攻擊者只需花費 3,000 美元就能買到這款惡意軟件,向 macOS 用戶發起攻擊。9 月下旬,CPR 發現了一個從未檢測到過的新版 Banshee。值得注意的是,其開發者從 Apple 自有 XProtect 殺毒引擎中竊得一種字符串加密算法,并用它取代了原始版本中使用的純文本字符串。或因于此,Banshee 在過去兩個多月中逃過了殺毒引擎的檢測。在此期間,攻擊者通過網絡釣魚網站和惡意 GitHub 倉庫傳播此惡意軟件,將其偽裝成 Chrome 瀏覽器、Telegram 和 TradingView 等熱門軟件工具。
2024 年 11 月,Banshee 的運營發生了重大變故,其源代碼被泄露在 XSS 地下論壇上,也不再公開銷售 Stealer 即服務。這起泄漏事件不僅暴露了其內部運作方式,而且還降低了其檢測難度。雖然此次泄露事件讓殺毒引擎的檢出率得以提高,但也引發了人們對其他攻擊者開發新變種的擔憂。
Banshee Stealer 的運作方式
Banshee Stealer 的功能揭示了現代惡意軟件背后的復雜性。安裝完成后,它將:
· 竊取系統數據:瞄準 Chrome、Brave、Edge 和 Vivaldi 等瀏覽器,以及加密貨幣錢包的瀏覽器擴展程序。此外,它不僅會利用雙重身份驗證 (2FA) 擴展程序捕獲敏感憑證,而且還會收集軟件和硬件詳細信息、外部 IP 地址和 macOS 密碼。
· 誘騙用戶:通過偽裝成合法系統提示的迷惑性彈出窗口,誘騙用戶輸入其 macOS 密碼。
· 逃避檢測:利用反分析技術躲避調試工具和殺毒引擎。
· 泄露數據:通過加密和編碼文件向命令和控制服務器發送竊取的信息。
Banshee 登錄面板
攻擊者將 GitHub 倉庫用作 Banshee 的主要傳播途徑。這些攻擊活動使用 Banshee 向 macOS 用戶發起攻擊,同時使用另一種已知的惡意軟件 Lumma Stealer 瞄準 Windows 用戶。在三輪攻擊中,攻擊者創建惡意倉庫來冒充常用軟件,誘使用戶下載此惡意軟件。這些倉庫往往看似合法,在通過星級評分和評論等贏得用戶信任后,便會發起惡意攻擊活動。
Github.io 網站
企業必須提高風險意識
企業必須認識到現代惡意軟件帶來的更廣泛風險,包括數據安全事件會泄露敏感信息并損害企業聲譽,造成重大經濟損失;針對加密貨幣錢包的定向攻擊會危及數字資產;以及隱蔽惡意軟件可以逃避檢測,若未識別則會造成長期損害,導致運維中斷。
從 Banshee Stealer 中汲取的經驗教訓
Banshee 的出現表明網絡威脅正不斷演進,必須采取強大防御措施。自 2024 年 11 月其源代碼被泄露后,Banshee Stealer 即服務運營即正式關閉。不過,CPR 發現仍有多起攻擊活動通過網絡釣魚網站傳播此惡意軟件。目前尚不清楚這些攻擊活動是由以前的客戶還是開發者的私人團伙發起。
攻擊活動集群
最新版本 Banshee 的一大更新是取消了特定語種檢查。先前的惡意軟件版本一檢測到某些特定語種就會終止運行,可能是為了避免攻擊特定地區。現在刪除這一功能進一步擴大了潛在目標范圍。
隨著網絡犯罪分子不斷變換花樣,安全防護解決方案必須與時俱進,以提供全面的安全防護。企業和用戶都必須采取主動防護措施來抵御威脅,采用先進工具,并時刻保持警惕,謹慎行事。Check Point Research 一直致力于及時發現和有效緩解安全風險。通過及時了解最新信息并投資強大的網絡安全措施,企業用戶可以有效保護其數據并靈活應對這些威脅。
本文轉載自:,不代表科技訊之立場。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122025011511132521320912.html
