Detectar Banshee Stealer: Malware sigiloso de Apple macOS evade detección utilizando cifrado XProtect
Tabla de contenidos:
Nuevo año, nuevas amenazas para los defensores cibernéticos. Los investigadores de ciberseguridad han descubierto una variante novedosa del notorio Banshee Stealer, que cada vez más está apuntando a usuarios de Apple en todo el mundo. Este sigiloso malware ladrón de información emplea avanzadas técnicas de evasión, logrando pasar desapercibido al aprovechar el cifrado de cadenas del motor antivirus XProtect de Apple. Atacando exclusivamente a los usuarios de macOS, Banshee es capaz de robar credenciales del navegador, datos de inicio de sesión, billeteras de criptomonedas y otra información sensible de los archivos.
Detectar el malware Banshee Stealer de Apple macOS
Con más de 1,000 millones de cepas de malware circulando en el ámbito de amenazas cibernéticas, mantenerse alerta ante amenazas emergentes es más crítico que nunca. Sin embargo, a medida que las superficies de ataque se expanden y las tácticas de infiltración evolucionan, la detección temprana de intrusiones sigue siendo un desafío complejo.
Para apoyar a los profesionales de seguridad, la Plataforma SOC Prime para la defensa cibernética colectiva proporciona el repositorio más grande del mundo de algoritmos de detección para amenazas emergentes, respaldados por herramientas avanzadas para la detección y caza de amenazas. Mantente al tanto de los últimos ataques de Banshee Stealer con una amplia colección de algoritmos de detección seleccionados. Haz clic en el Explorar Detección botón de abajo e inmediatamente profundiza en un conjunto de detección relevante.
Todas las reglas están mapeadas en el marco MITRE ATT&CK y son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake. Además, todas las detecciones están enriquecidas con metadatos extensos, incluyendo CTI referencias, líneas de tiempo de ataques, recomendaciones de triaje, y más.
Además, los profesionales de seguridad pueden explorar todo el conjunto de detecciones que abordan las TTP asociadas con el Banshee Stealer de Apple macOS malware en el Mercado de Detección de Amenazas para analizar retrospectivamente los ataques.
Para proceder con la investigación, los profesionales de seguridad también pueden lanzar cacerías instantáneas utilizando los IOCs proporcionados en la correspondiente investigación de Check Point. Confía en el Uncoder AI de SOC Prime para crear consultas personalizadas basadas en IOCs en cuestión de segundos y trabajar automáticamente con ellas en tu entorno SIEM o EDR elegido. Anteriormente exclusivo para clientes corporativos, Uncoder AI ahora está abierto a investigadores individuales con todo su poder. Consulta los detalles aquí.
Análisis del Malware Banshee Stealer de Apple macOS
A partir de 2024, con el número de usuarios de macOS superando los 100 millones, los ciberdelincuentes ven una oportunidad lucrativa. Los creadores de Banshee Stealer no perdieron el tiempo yendo tras los usuarios de Apple, refinando tácticas sigilosas para eludir la detección y recolectar datos sensibles sin ser detectados.
Revelado por primera vez en agosto de 2024, Banshee Stealer se vendió en foros clandestinos como malware-como-servicio por $3,000, siendo capaz de volcar datos del navegador, robar billeteras de criptomonedas y extraer archivos con extensiones específicas. Notablemente, los expertos en seguridad sugieren que Banshee puede estar vinculado a grupos cibercriminales de habla rusa, ya que el malware parece evitar atacar dispositivos pertenecientes a usuarios rusos.
En noviembre de 2024, el código fuente de Banshee Stealer se filtró en línea, lo que llevó a un cierre rápido de su operación pero también abrió puertas para otros desarrolladores de malware. Entre agosto y noviembre del año pasado, los investigadores de seguridad identificaron varias campañas de Banshee Stealer que apuntaban a usuarios de macOS.
Una de las variantes más recientes, descubierta y analizada por Check Point, utiliza una técnica de evasión única basada en la adopción de un algoritmo de cifrado de cadenas similar al que utiliza el XProtect de Apple para proteger sus datos. Al ofuscar sus cadenas y solo descifrarlas durante la ejecución, Banshee evita efectivamente los métodos de detección estática tradicionales. Este enfoque no solo reduce las posibilidades de detección, sino que también puede hacer que las herramientas antimalware de macOS y terceros pasen por alto la infección durante un período más prolongado.
Según los investigadores, la campaña detrás de esta nueva variante de Banshee Stealer sigue en curso, principalmente difundiendo las muestras a través de repositorios fraudulentos de GitHub, engañando a los usuarios de macOS al hacerse pasar por software legítimo. Los mismos actores de amenaza también están apuntando a usuarios de Windows aprovechando Lumma Stealer.
Curiosamente, los operadores de la campaña han eliminado el filtro de idioma ruso que anteriormente bloqueaba las infecciones en sistemas con ruso como idioma predeterminado. Este cambio sugiere una desconexión entre los operadores actuales y los desarrolladores originales de Banshee o un esfuerzo deliberado para expandir el rango de potenciales víctimas.
La continua evolución del malware resalta la urgente necesidad de aumentar la conciencia sobre ciberseguridad y la defensa proactiva. La Plataforma SOC Prime para la defensa cibernética colectiva capacita a organizaciones de diversas industrias, así como a investigadores individuales, con soluciones avanzadas para mantenerse al frente de las amenazas cibernéticas, incluyendo variantes de malware emergente y la creciente ola de ataques APT.