一種Banshee macOS信息竊取器的變種被發現通過復制蘋果內部算法的新字符串加密技術來欺騙檢測系統。

Check Point的一項研究在成功逃避檢測兩個月后捕捉到了該變種，該研究表示，威脅行為者通過釣魚網站和假冒的GitHub倉庫分發Banshee，經常冒充Google Chrome、Telegram和TradingView等流行軟件。

Menlo Security的網絡安全專家Ngoc Bui表示，這種新變種凸顯了Mac安全方面的重大漏洞。“雖然企業越來越多地采用蘋果生態系統，但安全工具卻未能跟上步伐，”他說，“即使在Mac上，領先的端點檢測與響應(EDR)解決方案也存在局限，導致企業存在顯著的盲點，我們需要采取多層次的安全方法，包括在Mac環境中培訓更多的安全獵手。”

該惡意軟件以竊取瀏覽器憑據、加密貨幣錢包和其他敏感數據而聞名。

利用蘋果自己的技術來對抗蘋果

CheckPoint研究人員發現，新的Banshee變種使用了從蘋果XProtect引擎中“竊取”的字符串加密算法，這可能使其能夠逃避檢測超過兩個月。

與原始版本中使用明文字符串不同，新變種復制了蘋果的字符串加密技術，該技術可用于加密URL、命令和敏感數據，使其無法被防病毒系統用于掃描已知惡意簽名的靜態分析工具讀取或檢測到。

Keeper Security的首席信息安全官James Scobey表示：“隨著攻擊者不斷精煉其技術，包括利用受原生安全工具啟發的加密方法，顯然企業不能再依賴關于平臺安全的傳統假設。”“像Banshee Stealer這樣的復雜惡意軟件可以繞過傳統防御，利用竊取的憑據和用戶錯誤。”

Banshee 2.0

Check Point研究發現的另一個關鍵差異是，該變種已移除俄語語言檢查，暗示可能的新所有權和擴展運營。

研究人員在博客文章中表示：“以前的惡意軟件版本如果檢測到俄語，就會終止操作，可能是為了避免針對特定地區。”“移除這一功能表明惡意軟件的潛在目標范圍有所擴大。”

Banshee macOS Stealer在2024年年中引起關注，在XSS、Exploit和Telegram等論壇上被宣傳為“即服務竊取器”，威脅行為者可以花費3000美元購買它，以瞄準macOS用戶。

然而，2024年11月，Banshee的運營在其源代碼泄露于XSS論壇后發生了巨大轉變，導致其公開關閉，此次泄露改善了防病毒檢測，但也引發了人們對其他行為者開發新變種的擔憂。