Novi Banshee Stealer cilja macOS korisnike

AUTOR ·

Stručnjaci za sajber bezbjednost kompanije Check Point otkrili su novu varijantu zlonamjernog softvera za krađu Banshee koji posebno cilja macOS korisnike. Ovaj zlonamjerni softver je u opticaju od sredine 2024. godine i nedavno je dobio alarmantno ažuriranje koje ga čini još opasnijim za korisnike macOS operativnih sistema.

Banshee Stealer

Novi Banshee Stealer cilja macOS korisnike; Source: Bing Image Creator

BANSHEE STEALER

Banshee Stealer je sofisticirani zlonamjerni softver dizajniran da ukrade osjetljive informacije od macOS korisnika, uključujući akreditive pregledača i prijavljivanja, novčanike za kriptovalute i druge vrijedne podatke uskladištene na korisničkim sistemima.

Autor Banshee Stealer zlonamjernog softvera nudi ovaj softver po modelu kradljivac kao usluga (eng. stealer-as-a-service) na platformama kao što su Telegram i mračnim internet forumima kao što su XSS i Exploit od jula 2024. godine. Tokom ovog perioda, zlonamjerni softver je prošao kroz kontinuirano poboljšanje, a njegov kreator je angažovao dva dodatna člana da sprovode ciljane kampanje protiv macOS korisnika.

Krajem septembra, sigurnosni istraživači su identifikovali novu, neotkrivenu verziju Banshee Stealer zlonamjernog softvera koja je neporemećeno radila više od dva mjeseca. Ova ažurirana varijanta uvela je šifrovanje niza, što otežava antivirusnim sistemima kao što je Apple XProtect da otkriju i neutrališu prijetnju. Čini se da je autor Banshee Stealer zlonamjernog softvera “ukrao” algoritam za šifrovanje nizova iz Apple macOS XProtect antivirusnog mehanizma, čime je dodatno poboljšao izbjegavanje otkrivanja.

 

Distribucija

Taktika koju koriste zlonamjerni akteri u distribuciji Banshee Stealer zlonamjernog softvera uključuje sofisticirani pristup koji koristi društveni inženjering i obmanu, prvenstveno preko phishing lokacija i lažnih GitHub repozitorija. Ove zlonamjerne platforme su pažljivo dizajnirane da oponašaju popularne softverske aplikacije kao što su Google Chrome, Telegram i TradingView, čime se povećava vjerovatnoća da korisnici nesvjesno preuzmu zlonamjerni softver.

Proces počinje stvaranjem GitHub zlonamjernih skladišta u više talasa, pri čemu se svaki talas čini legitimnim zbog prisustva zvjezdica i recenzija drugih korisnika. Ovaj društveni dokaz služi kao moćan mamac za potencijalne žrtve koje su uvučene u vjerovanje da preuzimaju originalne softverske alate. Zlonamjerni akteri pažljivo kreiraju ova spremišta kako bi se besprijekorno uklopila sa očekivanjima njihovih ciljanih žrtvi, čime se povećava povjerenje i kredibilitet među korisnicima koji ništa ne sumnjaju.

Distribucija Banshee Stealer zlonamjernog softvera preko phishing internet lokacija i lažnih GitHub repozitorija je svjedočanstvo sofisticiranosti i prilagodljivosti savremenih zlonamjernih aktera. Oni kontinuirano razvijaju svoje taktike, koristeći prednosti popularnih softverskih aplikacija u koje korisnici vjeruju i na koje se svakodnevno oslanjaju. Zloupotrebljavajući ove pouzdane platforme, oni su u mogućnosti da zaobiđu bezbjednost mjere i dobiju neovlašteni pristup osjetljivim podacima uskladištenim na ciljanim uređajima.

 

Nova varijanta

Kao što je već rečeno, sigurnosni istraživači su uspjeli krajem septembra 2024. godine da dobiju nove verzije Banshee Stealer zlonamjernog softvera koje su uspješno izbjegavale otkrivanje od strane antivirusnog softvera više od dva mjeseca na VirusTotal platformi. Ovaj produženi period neotkrivanja djelimično je bio posljedica lukavog poteza programera ovog zlonamjernog softvera kroz “krađu“ algoritma za šifrovanje nizova iz Apple antivirusnog mehanizma XProtect koji su ugradili ga u svoj zlonamjerni softver. Tek u novembru 2024. godine kada je izvorni kôd ovog zlonamjernog softvera na XSS podzemnom forumu, proizvođači antivirusa su konačno ažurirali svoja pravila detekcije kako bi identifikovali i originalni procurjeli kôd i sva naknadna ažuriranja.

Nakon detaljnijeg ispitivanja, postalo je očigledno da, iako je osnovna funkcionalnost starije i novije verzije Banshee Stealer zlonamjernog softvera ostala nepromijenjena, među njima postoje neke ključne razlike. Jedna takva razlika je uvođenje šifrovanja nizova, koje je zamijenilo nizove običnog teksta pronađene u uzorcima prijavljenim u avgustu. U početku, kada su sigurnosni istraživači kompanije Check Point prvi put naišli na šifrovane uzorke krajem septembra, kreirali su Yara pravilo zasnovano na ovom novootkrivenom metodu šifrovanja. Međutim, zbog velikog broja lažnih pozitivnih rezultata koje je generisalo ovo pravilo, bila je neophodna dalja istraga.

Nakon detaljnijeg pregleda, otkriveno je da Banshee Stealer zlonamjerni softver koristi isti metod šifrovanja koji Apple koristi u macOS operativnom sistemu za šifrovanje nizova u okviru svog antivirusnog mehanizma, XProtect. Ovo otkriće baca svjetlo na sofisticiranost programera koji stoje iza ovog zlonamjernog softvera i njihovu sposobnost da oponašaju uspostavljene bezbjednosne mjere kako bi izbjegli otkrivanje.

Pored svega, najnovija verzija ovog kradljivca korisničkih podataka je uklonila provjeru ruskog jezika, proširujući svoje potencijalne ciljeve i na one koji koriste ruski jezik. Ovo proširenje naglašava rastuće rizike za korisnike macOS operativnog sistema i naglašava potrebu za naprednim rješenjima za sajber bezbjednost i povećanom budnošću u zaštiti osjetljivih informacionih sredstava.

 

Mogućnosti

Jedna od primarnih meta Banshee Stealer zlonamjernog softvera su različiti internet pregledači. Primijećeno je da zlonamjerni softver krade akreditive iz nekoliko popularnih pregledača, uključujući Chrome, Brave, Edge, Vivaldi, Yandex i Opera. To znači da su korisnici koji se oslanjaju na ove pretraživače izloženi riziku ako su njihovi uređaji zaraženi ovim zlonamjernim softverom.

Pored akreditiva pretraživača, zlonamjerni softver takođe cilja na specifična proširenja pregledača koja se prvenstveno odnose na novčanike kriptovaluta. Ciljani novčanici uključuju Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic i Ledger. Ovo su popularni izbori među kripto entuzijastima za upravljanje digitalnom imovinom, što ih čini glavnim metama za zlonamjerne aktere poput kreatora Banshee Stealer zlonamjernog softvera.

Pored krađe osjetljivih podataka iz pregledača i aplikacija kripto novčanika, Zlonamjerni softver prikuplja različite sistemske informacije kao što su detalji o softveru i hardveru, spoljna IP adresa, pa čak i lozinke za macOS tako što obmanjuje korisnike da unesu svoje akreditive kroz iskačući prozor za unos koji je dizajniran da liči na legitimne sistemske upite.

Funkcionalnost preuzimanja datoteka ovog zlonamjernog softvera se obavlja pomoću AppleScript programskog jezika. Ako AppleScript izvršavanje ne uspije, pokušaće ponovo do 30 puta, svaki put resetujući dozvole. Kada se prikupe relevantne datoteke, zlonamjerni softver prikazuje korisniku poruku o neuspjehu, što ga navodi da vjeruje da softversko rješenje ne funkcioniše ispravno.

 

Funkcionisanje

Nakon što su sigurnosni istraživači dešifrovali nizove u novoj verziji Banshee Stealer zlonamjernog softvera, postalo je očigledno da njegove osnovne operacije ostaju uglavnom nepromijenjene. Primarne izmjene su usredsređene na dodatne tehnike anti-analize dizajnirane da osujetite mjere bezbjednosti i da se neprimjetno stapaju sa legitimnim sistemskim procesima.

Prva značajna tehnika koju koristi je kreiranje podređenog procesa namijenjenog da zaobiđe programe za otklanjanje grešaka koji su povezani sa roditeljskim procesom. Pre okončanja, roditeljski proces izvršava komandu kojom zatvara sve otvorene terminalske sesije. Istovremeno, podređeni proces pokreće sistemski proces (eng. daemon) u pozadini koji oponaša sistemsku uslugu i pokušava da se neprimjetno stopi sa normalnim procesima.

Nakon toga, pokreće se još jedan podređeni proces dok se početni podređeni proces završava. Posljednji podređeni proces nastoji da dobije pristup (read, write, execute – rwx) osnovnom direktorijumu (eng. root directory); ako ne uspije, infekcija zlonamjernim softverom će odmah prestati. Nasuprot tome, ako uspije, zlonamjerni softver zatvara standardni ulazni tok podataka (eng. standard input – stdin), standardni izlazni tok podataka (eng. standard output – stdout) i standardni izlazni tok za greške (eng. standard error – stderr) i preusmjerava ih na fajl za odbacivanje (/dev/null). Ovo osigurava da zlonamjerni softver radi tajno bez generisanja izlaza ili grešaka koje bi mogle da upozore korisnike na sumnjivo ponašanje. Štaviše, sprečava bilo kakvu interakciju sa alatima za otklanjanje grešaka koji prate ponašanje ulaza/izlaza.

Kada su ove provjere uspješno zaobiđene, Banshee Stealer zlonamjerni softver nastavlja preuzimanjem HOME i TMP direktorijuma i kreiranjem direktorijuma od deset znakova unutar TMP direktorijuma. Ovi direktorijumi služe za višestruke svrhe: koriste se za krađu korisničkih informacija, podataka pregledača i skladištenje ukradenih podataka u kreiranom direktorijumu. U ovoj fazi, zlonamjerni softver funkcioniše slično njegovim prethodnim verzijama. Međutim, jedna značajna promjena primijećena u ažuriranom kôdu je eliminacija provjere jezika, koja je prethodno prekinula proces ako je otkriven ruski. Pored ovih izmjena, nova verzija zlonamjernog softvera uvodi šifrovanje niza po prvi put krajem septembra, od kada su sigurnosni istraživači uspjeli identifikovati preko 26 kampanja koje koriste ovu ažuriranu varijantu zlonamjernog softvera.

 

Kampanje

Nove verzije Banshee Stealer zlonamjernog softvera se obično orkestriraju kroz preko lažnih GitHub skladišta koja ciljaju korisnike koji traže piratski Adobe softver i druga rješenja za uređivanje slika ili video sadržaja.

Prva posmatrana kampanja je održana između 18. i 21. oktobra. Izvršeno je preko devet različitih GitHub skladišta, od kojih je svako dobilo umjeren broj zvjezdica (u rasponu od 10 do 30) u pokušaju da se poveća njihov legitimitet. Ovaj početni talas je bio usmjeren na korisnike macOS operativnog sistema.

Druga kampanja je sprovedena 31. oktobra i ciljala je korisnike Windows i macOS operativnih sistema. GitHub skladišta povezana sa ovom kampanjom su preusmjerila žrtve na objavu na github.io koji sadrži dvije zlonamjerne arhivske veze: jednu za Windows zaraženu Lumma Stealer zlonamjernim softverom i drugu za macOS koji nosi Banshee Stealer zlonamjerni softver.

Treća posmatrana kampanja dogodila se oko 3. novembra. Kao i prethodna, ciljala je korisnike Windows i macOS operativnih sistema. U ovoj je kampanji primijećeno nešto zanimljivo. Dok je zlonamjerni softver komunicirao sa istim komandnim i kontrolnim (C&C) serverom kao i u prethodnoj kampanji, koristio je drugačiji ID. Izdanje Lumma Stealer zlonamjerni softver u ovom je imao devet C&C servera koji koriste .site domene najvišeg nivoa, sa daljim krajnjim tačkama uskladištenim na Steam platformi.

 

ZAKLJUČAK

Rastuća popularnost macOS uređaja sa preko 100 miliona korisnika širom sveta, učinila ga je sve privlačnijom metom za zlonamjerne aktere. Uprkos njegovoj reputaciji bezbjednog operativnog sistema, porast sofisticiranih prijetnji kao što je nova verzija Banshee Stealer zlonamjernog softvera naglašava važnost budnosti i proaktivnih mjera sajber bezbjednosti. Sama pojava Banshee Stealer zlonamjernog softvera predstavlja značajnu prijetnju i za preduzeća i za pojedinačne korisnike koji koriste macOS operativne sisteme. Osjetljive informacije, kao što su finansijski podaci, lični identiteti i intelektualna svojina, mogu biti ugrožene ako se ne primjenjuju odgovarajuće mjere sajber bezbjednosti.

Preduzeća koja čuvaju osjetljive korisničke podatke na macOS operativnim sistemima mogu se suočiti sa ozbiljnim posljedicama, uključujući gubitak povjerenja, regulatorne kazne i oštećenje reputacije. Štaviše, krađa intelektualne svojine može dovesti do konkurentskog nepovoljnog položaja ili čak poslovnog neuspjeha. Ugroženi su i pojedinačni korisnici. Kompromitacija finansijskih informacija može dovesti do krađe identiteta i finansijskih gubitaka. Lični identiteti se mogu koristiti za razne nezakonite aktivnosti, izazivajući uznemirenost i potencijalnu štetu.

Da bi se borili protiv ovih prijetnji, preduzeća i korisnici moraju da preduzmu proaktivne korake za odbranu od sajber napada. Ovo uključuje korišćenje naprednih alata za otkrivanje prijetnji, kao i negovanje kulture opreza i svesti među zaposlenima. Obrazovanje i obuka su takođe ključni u borbi protiv sajber prijetnji. Korisnici treba da budu naučeni da prepoznaju phishing pokušaje, da obezbijede svoje uređaje jakim lozinkama sa autentifikacijom u dva koraka (eng. two-factor authentication – 2FA) i izbjegavaju da kliknu na sumnjive veze ili preuzimaju neprovjeren softver.

Pojava Banshee Stealer zlonamjernog softvera samo potvrđuje ponavljanju tvrdnju da nijedan operativni sistem nije imun na sajber napade. Zbog toga, korisnici macOS operativnog sistema moraju ostati oprezni i proaktivni u svojim naporima da obezbijede svoje sisteme i zaštite se od potencijalnih prijetnji kao što je ovaj prikriveni macOS zlonamjerni softver.

 

ZAŠTITA

Uzimajući u obzir nedavnu evoluciju Banshee Stealer zlonamjernog softvera, za preduzeća i za pojedinačne korisnike je ključno da preduzmu proaktivne mjere:

  1. Preuzimati aplikacije samo iz pouzdanih i legitimnih izvora. Držati se poznatih prodavnica aplikacija ili zvaničnih internet lokacija kako bi se samnjio rizik od preuzimanja zlonamjernog softvera kao što je Banshee Stealer zlonamjerni softver;
  2. Zlonamjerni akteri često distribuiraju zlonamjerni softver prerušen u krekovane verzije popularnog softvera. Blokirati internet lokacije koje nude takav sadržaj i uzdržati se od korištenja piratskog softvera, koji može da ugrozi sistem na uređaju;
  3. Redovno ažurirati operativni sistem kako bi se osiguralo da su instalirane najnovija bezbjednosna ažuriranja i ispravke protiv poznatih ranjivosti. Ovo će pomoći da se zaštititi uređaj od prijetnji kao što je Banshee Stealer zlonamjerni softver;
  4. Ako već nije omogućen, aktivirati XProtect na Mac uređaju. To je ugrađeni alat za otkrivanje zlonamjernog softvera koji pomaže u zaštiti sistema skeniranjem i blokiranjem poznatog zlonamjernog softvera;
  5. Pored Xprotect alata, razmisliti o korišćenju antivirusnih rješenja nezavisnih proizvođača da bi se obezbijedio dodatni sloj zaštite od prijetnji kao što je Banshee Stealer zlonamjerni softver;
  6. Zlonamjerni akteri mogu da koriste phishing elektronske poruke za distribuciju zlonamjernog softvera. Izbjegavati otvaranje sumnjivih elektronskih poruka ili klikove na veze nepoznatih pošiljalaca, jer to može izvršiti preusmjeravanje do zaraženih internet lokacija ili preuzimanja štetnih datoteka na uređaj;
  7. Uvjeriti se da su lozinke za korisničke naloge složene i da ih je teško pogoditi. Korišćenje menadžera lozinki može pomoći prilikom generisanja složenih lozinki, kao i za njihovo čuvanje;
  8. Koristiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), jer dodaje još jedan sloj bezbjednosti tako što zahteva od korisnika da navedu i svoju lozinku i verifikacioni kôd koji se šalje putem tekstualne poruke, elektronske pošte ili generiše u aplikacije za autentifikaciju prilikom prijavljivanja. Ovo otežava zlonamjernim akterima da dobiju neovlašteni pristup korisničkim nalozima;
  9. U slučaju da je uređaj ugrožen, pravljenje rezervne kopije osnovnih datoteka može pomoći u brzom oporavku bez gubitka dragocjenih informacija. Koristiti usluge skladištenja u oblaku ili eksterne čvrste diskove za bezbjedno skladištenje rezervnih kopija.
  10. Važno je biti u toku sa najnovijim prijetnjama iz sajber bezbjednosti i najboljim praksama prateći renomirane bezbjednosne blogove, forume i izvore vesti. Ovo će pomoći u donošenju informisanih odluka o zaštiti uređaja i ličnih podataka od zlonamjernog softvera kao što je Banshee Stealer.

Praćenjem iznad navedenih preporuka, preduzeća i pojedinačni korisnici mogu značajno smanjiti svoju izloženost riziku i održati otpornost na ove prijetnje koje se razvijaju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.