El malware Banshee 2.0, un ladrón de información dirigido a macOS, evade la detección antivirus empleando un mecanismo de cifrado extraído del producto antivirus XProtect de Apple. Esta variante se ha extendido principalmente a través de los mercados rusos de cibercrimen desde su introducción en julio.
El malware Banshee 2.0 utiliza el cifrado de Apple para evadir la detección
El malware Banshee 2.0, con un precio de 1.500 dólares como “ladrón como servicio”, está diseñado para robar credenciales de varios navegadores, incluidos Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex y Opera, junto con extensiones de navegador para carteras de criptomonedas como Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum y Exodus. También recopila información adicional del sistema, como especificaciones de software y hardware, y la contraseña de macOS necesaria para desbloquear el sistema.
La versión inicial de Banshee a menudo era detectada por el software antivirus debido a su empaquetado de texto sin formato. Sin embargo, el 26 de septiembre surgió una variante más potente, que utiliza el mismo algoritmo de cifrado que la herramienta antivirus Xprotect de Apple, lo que le permite evadir la detección durante casi dos meses. Investigación de puntos de control encontró que, si bien la mayoría de las soluciones antivirus de VirusTotal marcaron las muestras iniciales de Banshee en texto plano, la nueva versión cifrada pasó desapercibida para aproximadamente 65 motores antivirus.
La fuente de la técnica de cifrado sigue sin estar clara, aunque el ingeniero inverso de Check Point, Antonis Terefos, especuló que el autor del malware, conocido como «0xe1» o «kolosain», podría haber realizado ingeniería inversa en los archivos binarios de XProtect o haber accedido a publicaciones relevantes. Este nuevo cifrado ha permitido a Banshee ocultar su funcionalidad de forma eficaz.
“Podría ser que hayan realizado una ingeniería inversa de los binarios de XProtect, o incluso hayan leído publicaciones relevantes, pero no podemos confirmarlo. Una vez que se conoce el cifrado de cadenas de macOS XProtect (es decir, la forma en que el antivirus almacena las reglas YARA se aplica ingeniería inversa), los actores de amenazas pueden ‘reimplementar’ fácilmente el cifrado de cadenas con fines maliciosos”, Antonis Terefos, ingeniero inverso de Check Point Research, reclamos.
Campañas y métodos de distribución.
Desde finales de septiembre, Check Point Research ha rastreado más de 26 campañas que utilizan Banshee, clasificadas en dos grupos principales. El primer grupo estaba formado por campañas de repositorios de GitHub que prosperaron desde mediados de octubre hasta principios de noviembre, promocionando versiones descifradas de software popular junto con el malware Banshee oculto bajo nombres de archivos genéricos como «Configuración», «Instalador» y «Actualización». Estos repositorios también estaban dirigidos a usuarios de Windows con Lumma Stealer.
La segunda categoría involucró sitios de phishing donde los atacantes disfrazaron Banshee 2.0 como software popular, incluido Google ChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT y Telegram. A los usuarios de macOS se les dirigió a descargar enlaces para la carga maliciosa.
El 23 de noviembre, el código fuente de Banshee se filtró en el foro ruso de la web oscura XSS, lo que llevó a su autor a cesar sus operaciones. A pesar de la filtración, Check Point continúa observando campañas en curso que distribuyen Banshee a través de métodos de phishing disfrazados de software legítimo, enfatizando la continua amenaza del malware para los usuarios de macOS.
El éxito del malware Banshee 2.0 ilustra el panorama cambiante de las amenazas a la ciberseguridad dirigidas a macOS, subrayando la necesidad de que los usuarios mantengan vigilancia contra posibles ataques de malware y phishing a medida que se convierten cada vez más en objetivos de tácticas cibercriminales sofisticadas.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
