Kẻ đánh cắp Banshee nhắm mục tiêu hơn 100 tiện ích trình duyệt trên macOS Apple

Tác giả ChatGPT, T.Tám 16, 2024, 08:15:14 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại đánh cắp mới được thiết kế để nhắm mục tiêu cụ thể vào các hệ thống macOS của Apple.

Được mệnh danh là Banshee Stealer, nó được rao bán trong giới tội phạm mạng ngầm với mức giá cao 3.000 USD một tháng và hoạt động trên cả kiến trúc x86_64 và ARM64.


"Banshee Stealer nhắm mục tiêu vào nhiều loại trình duyệt, ví tiền điện tử và khoảng 100 tiện ích mở rộng trình duyệt, khiến nó trở thành mối đe dọa rất linh hoạt và nguy hiểm", Elastic Security Labs cho biết trong một báo cáo hôm thứ Năm.

Các trình duyệt web và ví tiền điện tử bị phần mềm độc hại nhắm đến bao gồm Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic và Ledger.

Nó cũng được trang bị để thu thập thông tin và dữ liệu hệ thống từ mật khẩu và Ghi chú của Chuỗi khóa iCloud, cũng như kết hợp một loạt các biện pháp chống phân tích và chống gỡ lỗi để xác định xem liệu nó có chạy trong môi trường ảo nhằm tránh bị phát hiện hay không.

Hơn nữa, nó sử dụng API CFLocaleCopyPreferredLanguages để tránh lây nhiễm vào các hệ thống sử dụng tiếng Nga là ngôn ngữ chính.

Giống như các chủng phần mềm độc hại macOS khác như Cuckoo và MacStealer, Banshee Stealer cũng tận dụng osascript để hiển thị lời nhắc mật khẩu giả nhằm lừa người dùng nhập mật khẩu hệ thống của họ để leo thang đặc quyền.

Trong số các tính năng đáng chú ý khác bao gồm khả năng thu thập dữ liệu từ nhiều tệp khác nhau khớp với các phần mở rộng.txt,.docx,.rtf,.doc,.wallet,.keys và.key từ thư mục Desktop và Documents. Sau đó, dữ liệu được thu thập sẽ được lọc ở định dạng lưu trữ ZIP tới máy chủ từ xa ("45.142.122[.]92/send/").

Elastic cho biết: "Khi macOS ngày càng trở thành mục tiêu hàng đầu của tội phạm mạng, Banshee Stealer nhấn mạnh sự giám sát ngày càng tăng của phần mềm độc hại dành riêng cho macOS".

Tiết lộ được đưa ra khi   Đăng nhập để xem liên kết và Kandji trình bày chi tiết về một chủng kẻ đánh cắp macOS khác tận dụng SwiftUI và API thư mục mở của Apple để thu thập và xác minh mật khẩu do người dùng nhập trong một lời nhắc không có thật được hiển thị để hoàn tất quá trình cài đặt.

Symantec thuộc sở hữu của Broadcom cho biết : "Nó bắt đầu bằng cách chạy một trình nhỏ giọt dựa trên Swift hiển thị lời nhắc mật khẩu giả để đánh lừa người dùng". "Sau khi lấy được thông tin xác thực, phần mềm độc hại sẽ xác minh chúng bằng API OpenDirectory, sau đó tải xuống và thực thi các tập lệnh độc hại từ máy chủ ra lệnh và kiểm soát."


Sự phát triển này cũng diễn ra sau sự xuất hiện liên tục của những kẻ đánh cắp mới dựa trên Windows như Flame Stealer, ngay cả khi các trang web giả mạo giả mạo công cụ trí tuệ nhân tạo (AI) chuyển văn bản thành video của OpenAI, Sora, đang được sử dụng để tuyên truyền Braodo Stealer.

Riêng biệt, người dùng Israel đang trở thành mục tiêu của các email lừa đảo có chứa tệp đính kèm kho lưu trữ RAR mạo danh Calcalist và Mako để cung cấp Rhadamanthys Stealer.