1. 科技訊首頁(yè)
  2. 產(chǎn)經(jīng)

Check Point:Banshee Stealer 將目標(biāo)瞄準(zhǔn) macOS 用戶

陳晨 ? ? 產(chǎn)經(jīng)

長(zhǎng)久以來, macOS相關(guān)產(chǎn)品由于其整體市場(chǎng)份額占比不高,以及系統(tǒng)較為封閉的原因,用戶普遍認(rèn)為相對(duì)于Windows生態(tài),macOS更加安全。然而,隨著 macOS 越來越受歡迎,在全球已擁有超過 1 億活躍用戶。在剛剛出爐的IDC 2024年全球市場(chǎng)報(bào)告中可以看到,Apple已經(jīng)成為全球第四大個(gè)人電腦供應(yīng)商,其2024年度漲幅則位列前三。一個(gè)具有龐大用戶基數(shù)的操作生態(tài)系統(tǒng)無疑對(duì)不法分子有著強(qiáng)烈的誘惑。自2024年9月開始,Check Point Research (CPR) 一直在密切監(jiān)控并揭露了惡意軟件 Banshee macOS Stealer,該軟件可以竊取瀏覽器憑證、加密貨幣錢包和其他敏感數(shù)據(jù)。Banshee macOS Stealer在隨后一段時(shí)間幾經(jīng)升級(jí)“改頭換面”,因此Check Point安全專家希望通過一次深入的揭秘引起macOS用戶以及各企業(yè)與機(jī)構(gòu)的關(guān)注,并且保持高度警惕同時(shí)采取主動(dòng)網(wǎng)絡(luò)安全防護(hù)措施。

Check Point Research (CPR) 一直在監(jiān)控這一針對(duì) macOS 用戶的新興惡意軟件。以下是一些企業(yè)和用戶須知。

切勿盲目做出安全假設(shè)

許多企業(yè)與 macOS 用戶認(rèn)為,由于該平臺(tái)采用基于 Unix 的架構(gòu),而且市場(chǎng)份額歷來較低,因此對(duì)網(wǎng)絡(luò)犯罪分子的吸引力較小,或會(huì)幸免于惡意軟件攻擊。雖然 macOS 具有 Gatekeeper、XProtect 和沙盒等多項(xiàng)強(qiáng)大的安全防護(hù)功能,但 Banshee Stealer 的出現(xiàn)提醒我們,任何操作系統(tǒng)都無法幸免于難。

這一隱蔽的惡意軟件不僅會(huì)侵入系統(tǒng),而且還會(huì)暗中運(yùn)行,與正常系統(tǒng)進(jìn)程無縫融合,竊取瀏覽器憑證、加密貨幣錢包、用戶密碼和敏感文件數(shù)據(jù)。Banshee 的真正危害之處在于它能夠逃避檢測(cè)。即使是經(jīng)驗(yàn)豐富的 IT 專業(yè)人員也很難發(fā)現(xiàn)其存在。Banshee Stealer 不只是又一種惡意軟件,更是一個(gè)安全警告,警示用戶必須重新評(píng)估自己的安全假設(shè),并采取主動(dòng)防護(hù)措施來保護(hù)其數(shù)據(jù)。

Banshee Stealer 的演變:一種新型威脅

Banshee MacOS Stealer 于 2024 年年中首次引起公眾關(guān)注,當(dāng)時(shí)它在 XSS 和 Exploit 等地下論壇以及 Telegram 上以“竊取程序即服務(wù)”的形式出售。攻擊者只需花費(fèi) 3,000 美元就能買到這款惡意軟件,向 macOS 用戶發(fā)起攻擊。9 月下旬,CPR 發(fā)現(xiàn)了一個(gè)從未檢測(cè)到過的新版 Banshee。值得注意的是,其開發(fā)者從 Apple 自有 XProtect 殺毒引擎中竊得一種字符串加密算法,并用它取代了原始版本中使用的純文本字符串。或因于此,Banshee 在過去兩個(gè)多月中逃過了殺毒引擎的檢測(cè)。在此期間,攻擊者通過網(wǎng)絡(luò)釣魚網(wǎng)站和惡意 GitHub 倉(cāng)庫(kù)傳播此惡意軟件,將其偽裝成 Chrome 瀏覽器、Telegram 和 TradingView 等熱門軟件工具。

2024 年 11 月,Banshee 的運(yùn)營(yíng)發(fā)生了重大變故,其源代碼被泄露在 XSS 地下論壇上,也不再公開銷售 Stealer 即服務(wù)。這起泄漏事件不僅暴露了其內(nèi)部運(yùn)作方式,而且還降低了其檢測(cè)難度。雖然此次泄露事件讓殺毒引擎的檢出率得以提高,但也引發(fā)了人們對(duì)其他攻擊者開發(fā)新變種的擔(dān)憂。

Banshee Stealer 的運(yùn)作方式

Banshee Stealer 的功能揭示了現(xiàn)代惡意軟件背后的復(fù)雜性。安裝完成后,它將:

· 竊取系統(tǒng)數(shù)據(jù):瞄準(zhǔn) Chrome、Brave、Edge 和 Vivaldi 等瀏覽器,以及加密貨幣錢包的瀏覽器擴(kuò)展程序。此外,它不僅會(huì)利用雙重身份驗(yàn)證 (2FA) 擴(kuò)展程序捕獲敏感憑證,而且還會(huì)收集軟件和硬件詳細(xì)信息、外部 IP 地址和 macOS 密碼。

· 誘騙用戶:通過偽裝成合法系統(tǒng)提示的迷惑性彈出窗口,誘騙用戶輸入其 macOS 密碼。

· 逃避檢測(cè):利用反分析技術(shù)躲避調(diào)試工具和殺毒引擎。

· 泄露數(shù)據(jù):通過加密和編碼文件向命令和控制服務(wù)器發(fā)送竊取的信息。

https://img.kejixun.com/2025/01/2025011505410437.png

Banshee 登錄面板

攻擊者將 GitHub 倉(cāng)庫(kù)用作 Banshee 的主要傳播途徑。這些攻擊活動(dòng)使用 Banshee 向 macOS 用戶發(fā)起攻擊,同時(shí)使用另一種已知的惡意軟件 Lumma Stealer 瞄準(zhǔn) Windows 用戶。在三輪攻擊中,攻擊者創(chuàng)建惡意倉(cāng)庫(kù)來冒充常用軟件,誘使用戶下載此惡意軟件。這些倉(cāng)庫(kù)往往看似合法,在通過星級(jí)評(píng)分和評(píng)論等贏得用戶信任后,便會(huì)發(fā)起惡意攻擊活動(dòng)。

https://img.kejixun.com/2025/01/2025011505410525.png

                                                                                                                                            Github.io 網(wǎng)站

企業(yè)必須提高風(fēng)險(xiǎn)意識(shí)

企業(yè)必須認(rèn)識(shí)到現(xiàn)代惡意軟件帶來的更廣泛風(fēng)險(xiǎn),包括數(shù)據(jù)安全事件會(huì)泄露敏感信息并損害企業(yè)聲譽(yù),造成重大經(jīng)濟(jì)損失;針對(duì)加密貨幣錢包的定向攻擊會(huì)危及數(shù)字資產(chǎn);以及隱蔽惡意軟件可以逃避檢測(cè),若未識(shí)別則會(huì)造成長(zhǎng)期損害,導(dǎo)致運(yùn)維中斷。

從 Banshee Stealer 中汲取的經(jīng)驗(yàn)教訓(xùn)

Banshee 的出現(xiàn)表明網(wǎng)絡(luò)威脅正不斷演進(jìn),必須采取強(qiáng)大防御措施。自 2024 年 11 月其源代碼被泄露后,Banshee Stealer 即服務(wù)運(yùn)營(yíng)即正式關(guān)閉。不過,CPR 發(fā)現(xiàn)仍有多起攻擊活動(dòng)通過網(wǎng)絡(luò)釣魚網(wǎng)站傳播此惡意軟件。目前尚不清楚這些攻擊活動(dòng)是由以前的客戶還是開發(fā)者的私人團(tuán)伙發(fā)起。

https://img.kejixun.com/2025/01/2025011505410574.png

攻擊活動(dòng)集群

最新版本 Banshee 的一大更新是取消了特定語(yǔ)種檢查。先前的惡意軟件版本一檢測(cè)到某些特定語(yǔ)種就會(huì)終止運(yùn)行,可能是為了避免攻擊特定地區(qū)。現(xiàn)在刪除這一功能進(jìn)一步擴(kuò)大了潛在目標(biāo)范圍。

隨著網(wǎng)絡(luò)犯罪分子不斷變換花樣,安全防護(hù)解決方案必須與時(shí)俱進(jìn),以提供全面的安全防護(hù)。企業(yè)和用戶都必須采取主動(dòng)防護(hù)措施來抵御威脅,采用先進(jìn)工具,并時(shí)刻保持警惕,謹(jǐn)慎行事。Check Point Research 一直致力于及時(shí)發(fā)現(xiàn)和有效緩解安全風(fēng)險(xiǎn)。通過及時(shí)了解最新信息并投資強(qiáng)大的網(wǎng)絡(luò)安全措施,企業(yè)用戶可以有效保護(hù)其數(shù)據(jù)并靈活應(yīng)對(duì)這些威脅。

本文轉(zhuǎn)載自:,不代表科技訊之立場(chǎng)。原文鏈接:http://articlef.yulepops.com/article/m-163/1/2122025011511132521320912.html

陳晨陳晨管理團(tuán)隊(duì)

相關(guān)推薦

發(fā)表回復(fù)

登錄后才能評(píng)論