Cybersicherheitsforscher haben eine neue Stealer-Malware entdeckt, die speziell auf Apple macOS-Systeme abzielt.
Die sogenannte Banshee Stealer wird im Cybercrime-Untergrund zu einem hohen Preis von 3.000 US-Dollar pro Monat angeboten und funktioniert sowohl auf x86_64- als auch auf ARM64-Architekturen.
“Banshee Stealer zielt auf eine Vielzahl von Browsern, Kryptowährungs-Wallets und rund 100 Browser-Erweiterungen ab, was sie zu einer äußerst vielseitigen und gefährlichen Bedrohung macht”, so die Elastic Security Labs in einem Bericht vom Donnerstag.
Die von der Malware angegriffenen Webbrowser und Krypto-Wallets umfassen Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic und Ledger.
Sie ist auch darauf ausgelegt, Systeminformationen und Daten aus iCloud Keychain-Passwörtern und Notizen zu sammeln und umfasst eine Vielzahl von Anti-Analyse- und Anti-Debugging-Maßnahmen, um festzustellen, ob sie in einer virtuellen Umgebung läuft, um einer Entdeckung zu entgehen.
Darüber hinaus nutzt sie die CFLocaleCopyPreferredLanguages API, um zu vermeiden, Systeme zu infizieren, auf denen Russisch die Hauptsprache ist.
Wie andere macOS-Malware-Stränge wie Cuckoo und MacStealer nutzt auch Banshee Stealer osascript, um einen gefälschten Passwort-Prompt anzuzeigen, um Benutzer dazu zu bringen, ihre Systempasswörter für Privilegienerhöhung einzugeben.
Zu den weiteren bemerkenswerten Funktionen gehört die Fähigkeit, Daten aus verschiedenen Dateien mit den Erweiterungen .txt, .docx, .rtf, .doc, .wallet, .keys und .key aus den Desktop- und Dokumentenordnern zu sammeln. Die gesammelten Daten werden dann in einem ZIP-Archivformat an einen Remote-Server (“45.142.122[.]92/send/”) übertragen.
“Da macOS zunehmend zu einem Hauptziel für Cyberkriminelle wird, unterstreicht Banshee Stealer die zunehmende Beobachtung von macOS-spezifischer Malware”, so Elastic.
Die Enthüllung erfolgt, während Hunt.io und Kandji einen weiteren macOS-Stealer-Strang detaillierten, der SwiftUI und Apples Open Directory APIs nutzt, um vom Benutzer eingegebene Passwörter in einem gefälschten Prompt zu erfassen und zu überprüfen, um den Installationsprozess abzuschließen.
“Es beginnt damit, einen Swift-basierten Dropper auszuführen, der einen gefälschten Passwort-Prompt anzeigt, um Benutzer zu täuschen”, sagte Symantec, das zu Broadcom gehört. “Nach dem Erfassen von Anmeldeinformationen überprüft die Malware sie mithilfe der OpenDirectory-API und lädt anschließend bösartige Skripte von einem Command-and-Control-Server herunter und führt sie aus.”
Diese Entwicklung folgt auch auf das kontinuierliche Auftauchen neuer Windows-basierter Stealer wie Flame Stealer, während gefälschte Websites, die sich als KI-Tool von OpenAI für Text-zu-Video-Konvertierung ausgeben, dazu verwendet werden, Braodo Stealer zu verbreiten.
Separat werden israelische Benutzer mit Phishing-E-Mails, die RAR-Archiv-Anhänge enthalten und Calcalist und Mako imitieren, angegriffen, um Rhadamanthys Stealer zu verbreiten.
Quelle: https://ift.tt/djeLoGW
Hinweis: Dieser Artikel bietet einen detaillierten Einblick in die neue Banshee Stealer-Malware, die sich gezielt an Apple macOS-Systeme richtet. Er zeigt die Vielseitigkeit und Gefährlichkeit dieser Bedrohung auf und unterstreicht die zunehmende Beobachtung von macOS-spezifischer Malware. Darüber hinaus beleuchtet er die aktuellen Entwicklungen im Bereich der Stealer-Malware und die Bedrohungen, denen Unternehmen und Benutzer ausgesetzt sind. Es wird empfohlen, dass Geschäftsinhaber von KMU, IT-Administratoren und technische Entscheidungsträger die notwendigen Maßnahmen ergreifen, um ihre Systeme und Daten vor solchen Bedrohungen zu schützen.