Banshee Stealerの検知: 巧妙なApple macOSマルウェア、XProtect暗号化を利用し検出を回避

新しい年、新たな脅威がサイバー防御者を待ち受けています。サイバーセキュリティの研究者たちは、悪名高いBanshee Stealerの新しい変種を発見しました。これは世界中のAppleユーザーをますます標的にしています。このステルスメイラーウェアは インフォスティーラー型マルウェア 高度な回避技術を駆使し、AppleのXProtectアンチウイルスエンジンの文字列暗号化を利用することで検出を巧妙にすり抜けます。macOSユーザーのみを狙い、Bansheeはブラウザの資格情報、ログインデータ、暗号通貨ウォレット、その他の機密情報をファイルから盗み出すことができます。

Apple macOS Banshee Stealer マルウェアを検出する

100億を超える マルウェアの変種がサイバー脅威のアリーナに出回っている現在、新たな脅威に対して警戒を怠らないことはこれまで以上に重要です。しかし、攻撃面が拡大し、侵入戦術が進化する中、早期侵入検出は依然として複雑な課題です。 circulating the cyber threat arena, staying on guard against emerging threats is more critical than ever. Yet, as attack surfaces expand and infiltration tactics evolve, early intrusion detection remains a complex challenge.

セキュリティ専門家を支援するために、 SOC Primeプラットフォーム は、世界最大の新興脅威に対する検出アルゴリズムのリポジトリを提供し、先進的な脅威検出とハンティング用ツールを備えています。厳選された検出アルゴリズムの豊富なコレクションを活用し、Banshee Stealerの最新攻撃を把握してください。 検出を探る ボタンをクリックし、関連する検出スタックにすぐにドリルダウンしましょう。

検出を探索する

すべてのルールは MITRE ATT&CKフレームワーク にマッピングされており、30以上のSIEM、EDR、データレイク技術と互換性があります。さらに、すべての検出には、参照、攻撃タイムライン、トリアージ推奨事項などを含む膨大なメタデータが付与されています。 CTI 参照、攻撃タイムライン、トリアージ推奨事項などが含まれています。

加えて、セキュリティ専門家はすべての Apple macOS Banshee Stealerに関連するTTPに対応する検出 を脅威検出マーケットプレイスで分析し、攻撃を振り返ることができます。

調査を進めるために、セキュリティ専門家は対応する Check Pointの研究で提供されるIOCを使用して即時にハントを開始することもできます。SOC Primeの Uncoder AI を頼りに、カスタムIOCベースのクエリを数秒で作成し、選択したSIEMまたはEDR環境で自動的に利用できます。以前は法人顧客専用だったUncoder AIは、現在個人研究者にもその全機能が開放されています。詳細は こちら.

Apple macOS Banshee Stealerマルウェア分析

2024年時点で、macOSユーザーの数が1億を超える中、サイバー犯罪者は利益を得る絶好の機会を見出しています。Banshee Stealerの開発者はAppleユーザーを狙い、検出をかわし機密データを静かに収集するステルスタクティクスを磨いてきました。

2024年8月に初めて明らかになったBanshee Stealerは、マルウェア・アズ・ア・サービスとして地下フォーラムで3,000ドルで販売されており、ブラウザデータのダンプ、暗号通貨ウォレットの窃盗、特定の拡張子を持つファイルの抽出が可能です。特にセキュリティ専門家は、このマルウェアがロシア語を話すサイバー犯罪グループと関連している可能性があると指摘しており、ロシアのユーザーを狙うことは避けているようです。

2024年11月、Banshee Stealerのソースコードがオンラインに漏洩し、その活動が急速に停止されましたが、他のマルウェア開発者のためのきっかけにもなりました。昨年8月から11月の間に、セキュリティ研究者はmacOSユーザーを狙った複数のBanshee Stealerキャンペーンを確認しました。

そのうちの新しい変種は Check Pointによって発見され分析され、独自の回避技術を備えており、AppleのXProtectが使用するデータ保護と同様の文字列暗号化アルゴリズムを採用しています。実行中にのみ文字列を復号することによって、Bansheeは従来の静的検出法を巧妙に避けます。このアプローチは検出の可能性を低下させるだけでなく、macOSおよびサードパーティのアンチマルウェアツールが感染を見逃し続ける可能性もあります。, utilize a unique evasion technique based on adopting a string encryption algorithm similar to the one used by Apple’s XProtect to safeguard its data. By obfuscating its strings and only decrypting them during execution, Banshee effectively sidesteps traditional static detection methods. This approach not only reduces the chances of detection but may also cause macOS and third-party anti-malware tools to overlook the infection for a longer period. 

研究者によると、この新しいBanshee Stealer変種のキャンペーンは現在も進行中であり、主に偽のGitHubリポジトリを通じてサンプルを撒き散らし、macOSユーザーを欺いて正当なソフトウェアに見せかけています。同一の脅威アクターはまた、Windowsユーザーをターゲットに Lumma Stealer. 

も利用しています。興味深いことに、キャンペーンのオペレーターは、以前はロシアの言語での感染をブロックしていたフィルターを削除しました。この変更は、現在のオペレーターと元のBanshee開発者との間の断絶、または潜在的な被害者の範囲を拡大する意図的な努力を示唆しています。

マルウェアの進化が続くということは、高まり続けるサイバーセキュリティ意識と積極的な防御が急務であることを示しています。また、 SOC Primeプラットフォーム コレクティブサイバー防御のためのSOC Primeプラットフォームは、様々な業界の組織や個々の研究者に、進化し続けるマルウェアの変種やAPT攻撃の波に対抗するための高度なソリューションを提供します。