A Check Point Research descobriu uma nova versão e ainda mais oculta do Banshee Stealer para macOS, inicialmente relatada no final de 2024. Uma das inovações observadas na versão mais recente deste malware de roubo de informações (infostealer) foi a introdução de criptografia de sequência de caracteres (strings), retirada do XProtect da Apple. Isso provavelmente fez com que os sistemas de detecção de antivírus ignorassem o malware, tornando-o uma ameaça mais potente para os usuários.
Embora o código-fonte do Banshee Stealer tenha vazado em novembro de 2024 e sua operação tenha sido oficialmente encerrada, os pesquisadores da CPR identificaram campanhas ativas distribuindo o malware por meio de sites de phishing. Para agravar a ameaça, uma nova versão do Banshee foi detectada, com capacidade de roubar dados sensíveis e informações de carteiras de criptomoedas de usuários de macOS.
Com o aumento da popularidade dos dispositivos macOS, que hoje contam com um número de usuários de macOS ultrapassando 100 milhões, eles estão se tornando alvos prioritários para cibercriminosos. O aumento de ameaças sofisticadas como o Banshee macOS Stealer destaca a importância de atenção redobrada e medidas proativas de segurança cibernética.
Essa descoberta destaca o perigo contínuo de malwares cujo código foi vazado, que continuam alimentando ataques cibernéticos mesmo após o encerramento oficial de suas operações. À medida que cresce o uso de carteiras de criptomoedas em dispositivos macOS, torna-se ainda mais crucial que os usuários adotem medidas proativas de cibersegurança. Embora o XProtect forneça uma defesa valiosa, a sofisticação crescente dos malwares exige maior vigilância e camadas adicionais de segurança para proteger contra ameaças emergentes.
O malware Banshee Stealer tem como alvo uma ampla gama de dados pessoais, expondo dados críticos e incluindo credenciais de carteiras de criptomoedas. As carteiras populares em dispositivos macOS, como Trust Wallet, MetaMask e Coinbase Wallet, estão entre os principais alvos. De acordo com um relatório da Dune Analytics, a Trust Wallet conta com cerca de 170 milhões de usuários em todo o mundo, com aproximadamente 2,5 milhões de novos usuários a cada mês.
Além do perigo da ciberameaça, há o impacto para as empresas, as quais devem reconhecer os riscos mais amplos representados pelo malware moderno, incluindo violações de dados dispendiosas que comprometem informações confidenciais e prejudicam reputações, ataques direcionados a carteiras de criptomoedas que ameaçam ativos digitais e interrupções operacionais causadas por malware oculto que evita a detecção e causa danos a longo prazo antes de ser identificado.
Como o Banshee Stealer opera
A funcionalidade do Banshee Stealer revela uma sofisticação por trás dos malwares modernos. Uma vez instalado, este malware:
– Rouba dados do sistema: Alvo de navegadores como Chrome, Brave, Edge e Vivaldi, além de extensões de navegador para carteiras de criptomoedas. Explora uma extensão de autenticação em dois fatores (2FA) para capturar credenciais sensíveis. Também coleta detalhes de software e hardware, endereços IP externos e senhas do macOS.
– Engana os usuários: Utiliza pop-ups convincentes que se parecem com prompts legítimos do sistema para enganar os usuários e induzi-los a inserir suas senhas do macOS.
– Evita detecção: Emprega técnicas contra análises para escapar de ferramentas de depuração e mecanismos de antivírus.
– Exfiltra dados: Envia as informações roubadas para servidores de comando e controle por meio de arquivos criptografados e codificados.
Os pesquisadores da Check Point Software verificaram ainda que uma das mudanças significativas na versão mais recente do Banshee Stealer foi a remoção da verificação de idioma russo. Antes, o malware encerrava suas operações ao detectar configurações de idioma russo.
Essa alteração indica uma mudança notável na estratégia de direcionamento, sugerindo que o malware agora está sendo utilizado por novos agentes de ameaça que não têm preocupação em atingir usuários russos. Diferentemente dos operadores originais, que evitavam deliberadamente alvos na Rússia, esses novos grupos parecem não ter restrições geográficas ou políticas, ampliando ainda mais o alcance potencial do malware e intensificando sua ameaça global.
"O macOS está exposto a ataques assim como qualquer outro sistema operacional. Historicamente, era considerado mais seguro que o Windows, mas essa percepção está mudando gradualmente. Campanhas modernas de malware, que visam tanto usuários de macOS quanto de Windows, estão se tornando mais sofisticadas. Cibercriminosos dependem fortemente de técnicas de engenharia social, como phishing e atualizações de software falsas, para enganar os usuários e induzi-los a baixar softwares maliciosos. Esses ataques não se limitam a um único sistema operacional, pois eles exploram vulnerabilidades humanas comuns, e não as falhas específicas de plataforma", explica Eli Smadja, gerente do Grupo de Pesquisa em Segurança da CPR.
