Se ha identificado un malware diseñado específicamente para atacar los sistemas macOS de Apple. Conocido como «Banshee Stealer«, se vende en el mercado clandestino de cibercrimen por un valor de 3.000 dólares mensuales y es compatible con las arquitecturas x86_64 y ARM64.
Banshee Stealer se dirige a una amplia gama de navegadores y carteras de criptomonedas. Entre ellos se incluyen Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic y Ledger. Esto lo convierte en una amenaza extremadamente versátil y peligrosa.
El malware está equipado para recopilar información del sistema y datos del llavero de iCloud. También incorpora una gran cantidad de medidas anti-análisis y anti-depuración para determinar si se está ejecutando en un entorno virtual con el fin de evadir la detección. Además, emplea la API «CFLocaleCopyPreferredLanguages» para evitar infectar sistemas cuyo idioma principal sea el ruso.
Al igual que otros malwares para macOS como ‘Cuckoo‘ y ‘MacStealer‘, ‘Banshee Stealer‘ utiliza osascript para mostrar una solicitud de contraseña falsa con el objetivo de engañar a los usuarios y obtener las credenciales del sistema, con el fin de elevar sus privilegios.
Otra característica destacada de «Banshee Stealer» es su capacidad de recopilar datos de archivos con extensiones como ‘.txt‘, ‘.docx‘, ‘.rtf‘, ‘.doc‘, ‘.wallet‘, ‘.keys‘ y ‘.key‘ de las carpetas Escritorio y Documentos. Luego, se filtran en un archivo ZIP y se envían a un servidor remoto.
Esta amenaza tiene similitudes con otra variante de malware para macOS que utiliza SwiftUI y las APIs de Open Directory de Apple para capturar y verificar las contraseñas introducidas por el usuario a través de un mensaje falso durante un proceso de instalación. También coincide con la continua aparición de nuevos malware basados en Windows, como «Flame Stealer» y la propagación de «Braodo Stealer» mediante sitios que se hacen pasar por OpenAI.
Fuente:
Beyond the wail: deconstructing the BANSHEE infostealer — Elastic Security Labs
Ciberprisma - alianza por la ciberseguridad 