研究人員分析了 Banshee macOS Stealer樣本的新版本，該樣本最初避開了大多數反病毒引擎的檢測。

分析顯示，該惡意軟件采用了一種獨特的字符串加密技術，與Apple XProtect防病毒引擎用于加密二進制文件中YARA規則的加密方法相同。通過利用這種共享加密算法，Banshee可以混淆關鍵字符串，從而阻礙安全解決方案的即時檢測。

Check Point 研究人員補充道：“隨著macOS的持續普及，全球用戶超過1億，它正逐漸成為網絡犯罪分子越來越青睞的目標。”

已解壓Banshee MacOS Stealer檢測

Banshee是一種竊取惡意軟件，通過使用反分析技術（例如分叉和進程創建）來避免檢測，目標是用戶憑證、瀏覽器數據和加密錢包。

從包括Chrome 、Brave 、Edge 、Vivaldi 、Yandex 和Opera在內的各種瀏覽器和瀏覽器擴展中竊取信息，同時也針對特定的加密錢包擴展程序。

被竊取的數據經過壓縮后，使用活動ID進行XOR加密，然后進行base64編碼，最后被傳輸到命令和控制服務器。

C&C服務器經歷了多次迭代，從基于Django的服務器（具有單獨的管理面板），到用于機器人通信的單一FastAPI端點。目前，托管管理面板的服務器隱藏在Relay服務器后面，以增加隱蔽性。

C＆C解密

Check Point Research發現了針對macOS用戶的Banshee Stealer新版本，該版本通過多個假裝提供破解軟件的網絡釣魚存儲庫進行分發。

這些儲存庫在惡意軟件推送前幾周創建，惡意軟件竊取數據并將其發送到C&C服務器。最新的活動使用釣魚網站針對macOS用戶，并偽裝成Telegram下載傳播惡意軟件。

存儲庫發布

一名名為@kolosain的威脅行為者最初在Telegram上以2999美元的價格出售Banshee macOS 竊取程序。隨后，他們在XSS和Exploit論壇上以每月1500美元的價格提供該服務。甚至還招募了有限數量的熟練會員，組成了私人團體，并提供利潤分享模式。

在原始源代碼泄露后，@kolosain試圖在關閉服務前出售整個項目。泄密事件導致防病毒軟件的檢測率上升，但也增加了其他行為者開發分支和新變種的可能性。

Banshee特賣帖

Banshee macOS Stealer最新代碼更新涉及字符串加密，成功避開防病毒軟件的檢測長達兩個多月的時間。

以前專注于Windows的惡意行為者現在正積極針對macOS，利用GitHub等平臺分發DMG文件和不受保護的檔案。

這強調了需要能夠適應不斷演變的威脅的強大安全解決方案，包括主動威脅情報以及操作系統和應用程序的及時更新。

用戶必須保持警惕，謹慎對待意外通信，并優先進行網絡安全意識培訓，以減輕與這些威脅相關的風險。

參考鏈接：https://cybersecuritynews.com/banshee-malware-targets-macos/