‫ کاربران macOS روسی زبان هدف Banshee Stealer

به گفته آنتونیس ترفوس، محقق Check Point، Banshee Stealer یک تهدید مخفی برای افزایش تعداد کاربران macOS در سراسر جهان، از جمله کاربران کشورهای روسی زبان است Banshee Stealer برای اولین بار در آگوست 2024 به صورت عمومی معرفی شد، یک ماه پس از آن که توسعه دهنده آن شروع به فروش آن به عنوان یک سرویس با قیمت بالای 3000 دلار در ماه کرد.
 

این بدافزار می‌تواند در هر دو معماری macOS x86_64 و ARM64 کار کند و می‌تواند اطلاعات کاربری و کوکی‌های ذخیره شده توسط مرورگرهای محبوب و افزونه‌های مرورگر برای کیف پول‌های ارزهای دیجیتال و احراز هویت دو مرحله‌ای و همچنین رمز عبور macOS کاربران را بگیرد تا بتواند اطلاعات حساس ذخیره شده در Keychain را بگیرد. در ابتدا، این بدافزار برای جلوگیری از آلوده کردن سیستم‌هایی که زبان روسی زبان اصلی است ساخته شده بود، اما به گفته ترفوس، یک نوع بدون بررسی زبان روسی هم اکنون برای قربانیان احتمالی ارائه می‌شود.

تکامل بدافزار و نشت کد منبع

از ژوئیه تا نوامبر، هکر Banshee یک سرویس را در تلگرام و در انجمن‌های وب تاریک مانند XSS و Exploit اجرا کرد و به بهبود بدافزار ادامه داد در طول این مدت، دو عضو را برای اجرای کمپین‌هایی با هدف قرار دادن کاربران macOS استخدام کرد اما پس از آن کد منبع بدافزار در اواخر نوامبر به صورت آنلاین به بیرون درز کرد و فرد یا گروهی که در پشت آن بودند، عملیات خود را تعطیل کردند.

قبل از آن، توسعه‌ دهنده با معرفی رمزگذاری رشته‌ای که توسط XProtect، موتور ضد بدافزار مبتنی بر امضای macOS که بدافزارها و انواع شناخته شده را شناسایی می‌کند، مخفی بودند و سرقت اطلاعات افزایش یافت و این ترفند برای بیش از دو ماه کار کرد - تا زمانی که به دلیل نشت کد منبع شناسایی توسط موتورهای آنتی ویروس بهتر شد «عاملین حمله این نسخه جدید را عمدتاً از طریق وب‌سایت‌های فیشینگ و مخازن مخرب GitHub توزیع کردند در برخی از کمپین‌های GitHub، عاملین حمله نه تنها کاربران ویندوز بلکه کاربران macOS را با Lumma و Banshee Stealer هدف قرار دادند.

اما حتی پس از افشای اطلاعات، تهدید همچنان ادامه دارد: Check Point کمپین‌های متعددی را شناسایی کرده است که هنوز بدافزار را از طریق وب‌سایت‌های فیشینگ توزیع می‌کنند و ظاهراً نرم‌افزار محبوب (Telegram، TradingView، Parallels و غیره) را برای دانلود ارائه می‌دهند.

سایت فیشینگ با هدف قرار دادن macOS (منبع: Check Point Research)

نحوه ورود قربانی به وب سایت فیشینگ در حال حاضر نامشخص است با این حال، کاربرانی که به دنبال دانلود ابزارهای کرک شده یا از منابع غیرقانونی هستند، هدف چنین حملاتی هستند ترفوس افزود: وب‌سایت‌های فیشینگ مشابهی یافت شده‌اند که فایل‌های .dmg را به‌روزرسانی می‌کنند.

مشخص نیست که آیا کمپین‌های باقی‌مانده از مشتریان قبلی نشات می‌گیرند یا خالق Banshee به‌طور مداوم کد منبع را به‌روزرسانی می‌کند و از بدافزار به عنوان بخشی از گروه خصوصی استخدام شده در XSS برای اجرای کمپین‌های macOS استفاده می‌کند.»

اما با فاش شدن کد منبع، ترس این است که سایر توسعه دهندگان بدافزار مبادا دزدی‌های جدید macOS را بر اساس Banshee قرار دهند با وجود بیش از 100 میلیون کاربر macOS، مجموعه اهداف بالقوه قابل توجه و مطمئناً فریبنده است.