De Banshee 2.0-malware, een infostealer gericht op macOS, omzeilt antivirusdetectie door gebruik te maken van een coderingsmechanisme dat is afgeleid van Apple’s XProtect-antivirusproduct. Deze variant heeft zich sinds de introductie in juli voornamelijk via Russische marktplaatsen voor cybercriminaliteit verspreid.
Banshee 2.0-malware gebruikt de codering van Apple om detectie te omzeilen
Banshee 2.0-malware, die $ 1.500 kost als een ‘stealer-as-a-service’, is ontworpen om inloggegevens te stelen van verschillende browsers, waaronder Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex en Opera, naast browserextensies voor cryptocurrency-portefeuilles zoals Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum en Exodus. Het verzamelt ook aanvullende systeeminformatie, zoals software- en hardwarespecificaties en het macOS-wachtwoord dat nodig is om het systeem te ontgrendelen.
De eerste versie van Banshee werd vaak gedetecteerd door antivirussoftware vanwege de platte tekstverpakking. Op 26 september verscheen er echter een krachtigere variant, die gebruik maakte van hetzelfde versleutelingsalgoritme als Apple’s antivirusprogramma Xprotect, waardoor het bijna twee maanden lang aan detectie kon ontkomen. Checkpoint-onderzoek gevonden dat terwijl de meeste antivirusoplossingen in VirusTotal de eerste Banshee-voorbeelden in leesbare tekst markeerden, de nieuw gecodeerde versie onopgemerkt bleef door ongeveer 65 antivirusprogramma’s.
De bron van de versleutelingstechniek blijft onduidelijk, hoewel de reverse engineer van Check Point, Antonis Terefos, speculeerde dat de malware-auteur, bekend als “0xe1” of “kolosain”, mogelijk de binaire bestanden van XProtect heeft reverse-engineered of toegang heeft gekregen tot relevante publicaties. Deze nieuwe versleuteling heeft Banshee in staat gesteld de functionaliteit ervan effectief te verbergen.
“Het zou kunnen dat ze een reverse-engineering van de binaire bestanden van XProtect hebben uitgevoerd, of zelfs relevante publicaties hebben gelezen, maar we kunnen dit niet bevestigen. Zodra de string-encryptie van macOS XProtect bekend wordt – wat betekent dat de manier waarop de antivirus de YARA-regels opslaat is reverse-engineered – kunnen bedreigingsactoren de string-encryptie gemakkelijk ‘opnieuw implementeren’ voor kwaadaardige doeleinden,” zegt Antonis Terefos, reverse engineer bij Check Point Research, beweringen.
Campagnes en distributiemethoden
Sinds eind september heeft Check Point Research meer dan 26 campagnes gevolgd waarbij gebruik werd gemaakt van Banshee, onderverdeeld in twee hoofdgroepen. De eerste groep bestond uit GitHub-repositorycampagnes die floreerden van half oktober tot begin november, waarbij gekraakte versies van populaire software werden gepromoot naast de Banshee-malware verborgen onder generieke bestandsnamen als ‘Setup’, ‘Installer’ en ‘Update’. Deze repository’s waren ook gericht op Windows-gebruikers met de Lumma Stealer.
De tweede categorie betrof phishing-sites waar aanvallers Banshee 2.0 vermomden als populaire software Google ChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT en Telegram. Gebruikers op macOS werden doorverwezen naar downloadlinks voor de kwaadaardige lading.
Op 23 november lekte de broncode voor Banshee uit op het Russische dark web-forum XSS, wat de auteur ertoe aanzette zijn activiteiten stop te zetten. Ondanks het lek blijft Check Point lopende campagnes observeren waarbij Banshee wordt verspreid via phishing-methoden die zich voordoen als legitieme software, wat de voortdurende dreiging van de malware voor macOS-gebruikers benadrukt.
Het succes van de Banshee 2.0-malware illustreert het evoluerende landschap van cyberbedreigingen gericht op macOS, en onderstreept de noodzaak voor gebruikers om waakzaam te blijven tegen potentiële malware- en phishing-aanvallen, aangezien deze steeds vaker het doelwit worden van geavanceerde cybercriminele tactieken.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
