Pesquisadores de segurança cibernética descobriram um novo malware ladrão projetado para atingir especificamente os sistemas macOS da Apple.
Chamado de Banshee Stealer, ele é oferecido para venda no submundo do crime cibernético pelo alto preço de US$ 3.000 por mês e funciona em arquiteturas x86_64 e ARM64.
“O Banshee Stealer tem como alvo uma ampla gama de navegadores, carteiras de criptomoedas e cerca de 100 extensões de navegador, o que o torna uma ameaça altamente versátil e perigosa”, disse o Elastic Safety Labs em um relatório de quinta-feira.
Os navegadores da internet e carteiras de criptomoedas visados pelo malware incluem Safari, Google Chrome, Mozilla Firefox, Courageous, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Pockets, Atomic e Ledger.
Ele também é equipado para coletar informações do sistema e dados de senhas do iCloud Keychain e Notas, bem como incorporar uma série de medidas antianálise e antidepuração para determinar se ele está sendo executado em um ambiente digital na tentativa de evitar a detecção.
Além disso, ele usa a API CFLocaleCopyPreferredLanguages para evitar infectar sistemas onde o russo é o idioma principal.
Assim como outras cepas de malware para macOS, como Cuckoo e MacStealer, o Banshee Stealer também utiliza o osascript para exibir um immediate de senha falsa para induzir os usuários a digitar suas senhas de sistema para escalonamento de privilégios.
Entre os outros recursos notáveis está a capacidade de coletar dados de vários arquivos que correspondem às extensões .txt, .docx, .rtf, .doc, .pockets, .keys e .key das pastas Desktop e Paperwork. Os dados coletados são então exfiltrados em um formato de arquivo ZIP para um servidor remoto (“45.142.122(.)92/ship/”).
“À medida que o macOS se torna cada vez mais um alvo principal para criminosos cibernéticos, o Banshee Stealer ressalta a crescente observância de malware específico para macOS”, disse a Elastic.
A divulgação ocorre no momento em que Hunt.io e Kandji detalham outra variante de roubo de macOS que utiliza o SwiftUI e as APIs Open Listing da Apple para capturar e verificar senhas inseridas pelo usuário em um immediate falso exibido para concluir o processo de instalação.
“Ele começa executando um dropper baseado em Swift que exibe um immediate de senha falsa para enganar os usuários”, disse a Symantec, de propriedade da Broadcom. “Após capturar credenciais, o malware as verifica usando a API OpenDirectory e, subsequentemente, baixa e executa scripts maliciosos de um servidor de comando e controle.”
Esse desenvolvimento também acompanha o surgimento contínuo de novos ladrões baseados no Home windows, como o Flame Stealer, enquanto websites falsos disfarçados de ferramenta de inteligência synthetic (IA) de texto para vídeo da OpenAI, Sora, estão sendo usados para propagar o Braodo Stealer.
Separadamente, usuários israelenses estão sendo alvos de e-mails de phishing contendo anexos de arquivo RAR que se passam por Calcalist e Mako para entregar o Rhadamanthys Stealer.