Дослідники з компанії Check Point виявили модернізовану версію небезпечного шкідливого програмного забезпечення Banshee, спрямованого на користувачів macOS. Оновлена модифікація демонструє суттєво вдосконалені можливості з обходу систем захисту та розширений спектр потенційних цілей атаки.
Еволюція та технічні особливості Banshee
Інфостілер Banshee з’явився на початку 2024 року як шкідливе програмне забезпечення, що розповсюджується за моделлю Malware-as-a-Service (MaaS). Початкова версія пропонувалася кіберзлочинцям за щомісячну передплату в розмірі 3000 доларів США та спеціалізувалася на викраденні конфіденційних даних з браузерів, криптогаманців та різноманітних файлів на інфікованих пристроях.
Інноваційні методи приховування та обходу захисту
Найбільш значущим оновленням стало впровадження алгоритму шифрування рядків, подібного до того, що використовується в системі Apple XProtect. Це дозволяє шкідливому ПЗ ефективніше уникати виявлення антивірусними системами, оскільки зашифровані рядки розшифровуються виключно під час виконання програми, що суттєво ускладнює статичний аналіз коду фахівцями з безпеки.
Хто перебуває під загрозою
Оновлена версія Banshee атакує користувачів macOS по всьому світу — включно з україно- та російськомовними регіонами, від яких попередні версії зловмисного ПЗ утримувалися. Основними жертвами є власники криптовалютних гаманців, користувачі браузерів Safari, Chrome та Firefox, а також особи, які завантажують програмне забезпечення з неофіційних джерел. Паралельна кампанія через інфостілер Lumma охоплює також користувачів Windows.
Нова стратегія поширення та масштабування атак
На відміну від попередніх версій, оновлений Banshee відмовився від географічної фільтрації цілей і тепер атакує системи незалежно від мовних налаштувань, включаючи україномовні та російськомовні регіони. Основним вектором розповсюдження стали фішингові репозиторії на платформі GitHub, які маскуються під легітимне програмне забезпечення.
Розширення впливу через крос-платформні атаки
Експерти з кібербезпеки відзначають, що оператори шкідливого ПЗ проводять паралельні атаки на користувачів Windows, використовуючи інший інфостілер — Lumma. Це свідчить про масштабування кіберзлочинної операції та намагання охопити максимально широку аудиторію потенційних жертв.
Що зробити для захисту
- Встановлювати програмне забезпечення виключно з Mac App Store або з офіційних сайтів розробників — не довіряти GitHub-репозиторіям від невідомих авторів
- Регулярно оновлювати macOS: Apple XProtect отримує оновлення визначень шкідливого ПЗ автоматично, але для цього потрібна актуальна версія системи
- Перевірити розширення браузера та видалити всі незнайомі або підозрілі плагіни, оскільки Banshee активно краде дані через браузери
- Для зберігання криптовалюти використовувати апаратні гаманці (cold storage), а не браузерні розширення
- Якщо підозрюєте зараження — негайно відключіться від мережі, запустіть перевірку антивірусом і змініть паролі до всіх акаунтів з іншого пристрою
Поява модифікованої версії Banshee підкреслює, що екосистема macOS більше не є безпечним притулком. Користувачам слід ставитися до Mac-пристроїв з тією самою обережністю, що й до Windows-систем, особливо при роботі з криптоактивами та конфіденційними обліковими даними.
