Nova versão do Banshee Stealer deixa utilizadores de macOS em alerta. Tem como alvo carteiras e dados confidenciais

A nova versão foi descoberta pela equipa de investigação da Check Point Software Technologies, a Check Point Research, e foi reportada pela primeira vez no final de 2024. É ainda mais furtiva do que o malware original e usa agora criptografia de string tirada do XProtect da Apple o que pode fazer com que os sistemas de deteção de virus ignorem o malware, tornando-o "invisível" `s proteções antivirus.

Segundo os dados partilhados, este infostealer tem como alvo carteiras macOS e dados confidenciais, com a possibilidade de exposição de dados sensíveis, de documentos e outra informação guardada nas carteiras digitais mas também criptomoedas. Trust Wallet, MetaMask e Coinbase Wallet estão entre os principais alvos.

A Check Point Research estava a monitorizar a nova versão do Banshee macOS Stealer desde setembro de 2024,  analisando a forma como a usava a encriptação do XProtect da Apple. O malware foi distribuído através de sites de phishing e repositórios falsos do GitHub, muitas vezes fazendo-se passar por aplicações conhecidas como o Chrome e o Telegram, e embora inicialmente estivesse direcionado a idiomas russos, essa verificação foi eliminada na nova versão.

"Muitos utilizadores do macOS assumem que a arquitetura baseada em Unix e a quota de mercado historicamente mais baixa da plataforma a tornam um alvo menos atrativo para os cibercriminosos e, por conseguinte, imune a malware", explica a Check Point Research, dizendo que "embora o macOS inclua funcionalidades de segurança robustas como o Gatekeeper, XProtect e sandboxing, a ascensão do Banshee stealer serve para lembrar que nenhum sistema operativo está imune a ameaças".

A empresa de segurança avisa que este malware se infiltra no sistema macOS e opera sem ser detetado, misturando-se perfeitamente com os processos normais do sistema enquanto rouba credenciais do navegador, carteiras de criptomoedas, palavras-passe de utilizadores e dados de ficheiros sensíveis. "O que torna o Banshee verdadeiramente alarmante é a sua capacidade de evitar a deteção. Mesmo os profissionais de TI experientes têm dificuldade em identificar a sua presença", descreve a equipa de investigação.

"O Banshee stealer não é apenas mais uma peça de malware - é um aviso crítico para que os utilizadores reavaliem os seus pressupostos de segurança e tomem medidas proativas para salvaguardar os seus dados", explica a Check Point Research

Uma nova espécie de ameaça mais furtiva

O Banshee MacOS Stealer foi identificado pela primeira vez em 2024, sendo anunciado como um “stealer-as-a-service” em fóruns clandestinos, como XSS e Exploit, e Telegram. Os hackers podiam comprar este malware para atingir utilizadores do macOS por 3 mil dólares.

Já no final de setembro a equipa da Check Point identificou uma nova versão do Banshee, percebendo que tinha uma particularidade interessante. Os criadores tinham “roubado” um algoritmo de encriptação de cadeias de caracteres do motor antivírus XProtect da própria Apple, que substituiu as cadeias de texto simples utilizadas na versão original.

Foi isso que permitiu provavelmente que o Banshee escapasse à deteção pelos motores antivírus durante mais de dois meses. "Durante este tempo, os agentes da ameaça distribuíram o malware através de sites de phishing e repositórios maliciosos do GitHub, fazendo-se passar por ferramentas de software populares como o Chrome, Telegram e TradingView", explica a equipa.

Em novembro as operações do Banshee sofreram uma reviravolta significativa quando o seu código-fonte foi divulgado em fóruns clandestinos de XSS e foi encerrado ao público. O resultado foi a exposição do funcionamento interno mas também a melhor proteção dos motores de antivirus para esta ameaça.

Segundo a Check Point, depois de instalado, esta é a forma como funciona o Banshee Stealer:

• Rouba dados do sistema: Tem como alvo navegadores como Chrome, Brave, Edge e Vivaldi, juntamente com extensões de navegador para carteiras de criptomoedas. Também explora uma extensão de autenticação de dois factores (2FA) para capturar credenciais confidenciais. Além disso, recolhe detalhes de software e hardware, endereços IP externos e palavras-passe do macOS.
• Engana os utilizadores: Utiliza pop-ups convincentes concebidos para se parecerem com avisos legítimos do sistema para induzir os utilizadores a introduzir as suas palavras-passe do macOS.
• Evita a deteção: Emprega técnicas anti-análise para evitar ferramentas de depuração e mecanismos antivírus.
• Exfiltração de dados: Envia informações roubadas para servidores de comando e controlo através de ficheiros encriptados e codificados.

A Check Point nota que há algumas lições a tirar deste ataque. "O sucesso do Banshee sublinha a natureza evolutiva das ciberameaças e a necessidade de defesas robustas".

Apesar a operação do Banshee Stealer-as-a-service ter sido oficialmente encerrada, os investigadores identificaram várias campanhas que ainda estão a distribuir o malware através de sites de phishing. "Ainda não se sabe se estas campanhas estão a ser levadas a cabo por clientes anteriores ou pelo grupo privado do autor", explica a Check Point.