Check Point的一項(xiàng)研究在成功逃避檢測兩個月后捕捉到了該變種,該研究表示,威脅行為者通過釣魚網(wǎng)站和假冒的GitHub倉庫分發(fā)Banshee,經(jīng)常冒充Google Chrome、Telegram和TradingView等流行軟件。
Menlo Security的網(wǎng)絡(luò)安全專家Ngoc Bui表示,這種新變種凸顯了Mac安全方面的重大漏洞。“雖然企業(yè)越來越多地采用蘋果生態(tài)系統(tǒng),但安全工具卻未能跟上步伐,”他說,“即使在Mac上,領(lǐng)先的端點(diǎn)檢測與響應(yīng)(EDR)解決方案也存在局限,導(dǎo)致企業(yè)存在顯著的盲點(diǎn),我們需要采取多層次的安全方法,包括在Mac環(huán)境中培訓(xùn)更多的安全獵手。”
該惡意軟件以竊取瀏覽器憑據(jù)、加密貨幣錢包和其他敏感數(shù)據(jù)而聞名。
利用蘋果自己的技術(shù)來對抗蘋果
CheckPoint研究人員發(fā)現(xiàn),新的Banshee變種使用了從蘋果XProtect引擎中“竊取”的字符串加密算法,這可能使其能夠逃避檢測超過兩個月。
與原始版本中使用明文字符串不同,新變種復(fù)制了蘋果的字符串加密技術(shù),該技術(shù)可用于加密URL、命令和敏感數(shù)據(jù),使其無法被防病毒系統(tǒng)用于掃描已知惡意簽名的靜態(tài)分析工具讀取或檢測到。
Keeper Security的首席信息安全官James Scobey表示:“隨著攻擊者不斷精煉其技術(shù),包括利用受原生安全工具啟發(fā)的加密方法,顯然企業(yè)不能再依賴關(guān)于平臺安全的傳統(tǒng)假設(shè)。”“像Banshee Stealer這樣的復(fù)雜惡意軟件可以繞過傳統(tǒng)防御,利用竊取的憑據(jù)和用戶錯誤。”
Banshee 2.0
Check Point研究發(fā)現(xiàn)的另一個關(guān)鍵差異是,該變種已移除俄語語言檢查,暗示可能的新所有權(quán)和擴(kuò)展運(yùn)營。
研究人員在博客文章中表示:“以前的惡意軟件版本如果檢測到俄語,就會終止操作,可能是為了避免針對特定地區(qū)。”“移除這一功能表明惡意軟件的潛在目標(biāo)范圍有所擴(kuò)大。”
Banshee macOS Stealer在2024年年中引起關(guān)注,在XSS、Exploit和Telegram等論壇上被宣傳為“即服務(wù)竊取器”,威脅行為者可以花費(fèi)3000美元購買它,以瞄準(zhǔn)macOS用戶。
然而,2024年11月,Banshee的運(yùn)營在其源代碼泄露于XSS論壇后發(fā)生了巨大轉(zhuǎn)變,導(dǎo)致其公開關(guān)閉,此次泄露改善了防病毒檢測,但也引發(fā)了人們對其他行為者開發(fā)新變種的擔(dān)憂。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運(yùn)營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號