Une nouvelle version du malware de vol d’informations Banshee pour macOS a échappé à la détection au cours des deux derniers mois en adoptant le cryptage des chaînes de XProtect d’Apple.
Banshee est un voleur d’informations axé sur les systèmes macOS. Il est apparu à la mi-2024 sous la forme d’un voleur en tant que service accessible aux cybercriminels pour 3 000 dollars.
Son code source a été divulgué sur les forums XSS en novembre 2024, ce qui a conduit à la fermeture du projet pour le public et à la création d’une opportunité pour d’autres développeurs de logiciels malveillants de l’améliorer.
Selon Check Point Research, qui a découvert l’une des nouvelles variantes, la méthode de cryptage présente dans Banshee lui permet de se fondre dans les opérations normales et d’apparaître légitime lors de la collecte d’informations sensibles sur les hôtes infectés.
Un autre changement est qu’il n’évite plus les systèmes appartenant aux utilisateurs russes.
Protégez le chiffrement
XProtect d’Apple est la technologie de détection des logiciels malveillants intégrée à mac OS. Il utilise un ensemble de règles, similaires aux signatures antivirus, pour identifier et bloquer les logiciels malveillants connus.
La dernière version de Banshee Stealer a adopté un algorithme de cryptage puissant que XProtect utilise lui-même pour protéger ses données.
En brouillant ses chaînes et en les déchiffrant uniquement pendant l’exécution, Banshee peut échapper aux méthodes de détection statiques standard.
Il est également possible que Mac OS et les outils anti-logiciels malveillants tiers traitent la technique de cryptage particulière avec moins de suspicion, ce qui permet à Banshee de fonctionner sans être détecté pendant de plus longues périodes.
Vol de données sensibles
La dernière variante de Banshee stealer est principalement distribuée via des référentiels GitHub trompeurs ciblant les utilisateurs de Mac OS via une usurpation d’identité logicielle. Les mêmes opérateurs ciblent également les utilisateurs de Windows, mais avec Lumma Stealer.
CheckPoint rapporte que bien que l’opération de malware-as-a-service de Banshee soit restée interrompue depuis novembre, plusieurs campagnes de phishing ont continué à distribuer le malware depuis la fuite du code source.
L’infostealer cible les données stockées dans les navigateurs populaires (par exemple Chrome, Brave, Edge et Vivaldi), y compris les mots de passe, les extensions d’authentification à deux facteurs et les extensions de portefeuille de crypto-monnaie.
Il collecte également des informations de base sur le système et le réseau de l’hôte et envoie aux victimes des invites de connexion trompeuses pour voler leurs mots de passe macOS.