Detect Banshee Stealer: Stealthy Apple macOS Malware Evades Detection Using XProtect Encryption
목차:
새해에는 사이버 방어자들에게 새로운 위협이 다가옵니다. 사이버 보안 연구원들은 악명 높은 Banshee Stealer의 새로운 변형을 발견했으며, 이는 전 세계적으로 Apple 사용자를 점점 더 표적으로 삼고 있습니다. 이 은밀한 정보 탈취형 멀웨어 는 Apple의 XProtect 안티바이러스 엔진의 문자열 암호화를 활용하여 탐지를 피하고 있습니다. 오직 macOS 사용자만을 대상으로 하여 Banshee는 브라우저 자격 증명, 로그인 데이터, 암호화폐 지갑, 기타 민감한 정보를 파일로부터 탈취할 수 있습니다.
Apple macOS Banshee Stealer Malware 탐지
10억 개 이상의 멀웨어 변종 이 사이버 위협 영역을 돌아다니고 있는 가운데, 신흥 위협에 대한 경계를 유지하는 것은 그 어느 때보다 중요합니다. 그러나 공격 표면이 확장되고 잠복 전술이 발전함에 따라 초기 침입 탐지는 여전히 복잡한 과제가 됩니다.
보안 전문가들을 지원하기 위해 SOC Prime 플랫폼 은 세계 최대의 신흥 위협 탐지 알고리즘 저장소를 제공하며, 위협 탐지 및 사냥을 위한 고급 도구들로 뒷받침됩니다. 엄선된 탐지 알고리즘의 광범위한 컬렉션을 통해 가장 최근의 Banshee Stealer 공격에 대해 최신 정보를 유지하세요. 다음의 탐지 탐색 버튼을 눌러 관련 탐지 스택을 즉시 자세히 살펴보세요.
모든 규칙은 MITRE ATT&CK 프레임워크 에 매핑되어 있으며, 30개 이상의 SIEM, EDR, 데이터 레이크 기술들과 호환됩니다. 더욱이 모든 탐지에는 참조, 공격 타임라인, 중재 권장 사항 등 광범위한 메타데이터가 풍부하게 포함되어 있습니다. CTI 참조, 공격 타임라인, 중재 권장 사항 등을 포함하고 있습니다.
또한, 보안 전문가들은 Apple macOS Banshee Stealer와 관련된 TTP를 다루는 전체 탐지 세트를 Threat Detection Marketplace에서 탐색하여 공격을 회고적으로 분석할 수 있습니다.
조사 진행을 위해, 보안 전문가들은 해당 Check Point 연구에 제공된 IOC를 사용하여 즉시 사냥을 시작할 수도 있습니다. SOC Prime의 Uncoder AI 에 의존하여 몇 초 만에 맞춤형 IOC 기반 쿼리를 생성하고 선택된 SIEM 또는 EDR 환경에서 자동으로 작동할 수 있습니다. 이전에는 기업 클라이언트에게만 독점적으로 제공되었던 Uncoder AI는 이제 개별 연구자들에게도 전 기능이 개방되었습니다. 자세한 내용을 여기.
Apple macOS Banshee Stealer Malware 분석
2024년 현재, macOS 사용자가 1억 명 이상에 도달함에 따라 사이버 범죄자들은 수익성이 높은 기회를 보고 있습니다. Banshee Stealer의 제작자들은 Apple 사용자들을 목표로 탐지를 우회하고 민감한 데이터를 추출하기 위한 은밀한 전술을 개선하는 데 시간을 낭비하지 않았습니다.
Banshee Stealer는 2024년 8월 처음 공개되었고, 3,000달러에 멀웨어 서비스로 지하 포럼에서 판매되었으며, 브라우저 데이터를 덤핑하고 암호화폐 지갑을 훔치고 특정 확장자로 파일을 추출할 수 있습니다. 특히, Banshee가 러시아 사용자를 대상으로 하지 않는다는 점에서 보안 전문가들은 Banshee가 러시아어 사용자 그룹과 연결되어 있을 가능성을 제안하고 있습니다.
2024년 11월, Banshee Stealer의 소스 코드가 온라인에 유출되면서 그 운영은 즉시 종료되었지만 다른 멀웨어 개발자들에게 새로운 기회를 열어주었습니다. 작년 8월부터 11월 사이에, 보안 연구원들은 macOS 사용자들을 대상으로 한 여러 Banshee Stealer 캠페인을 식별했습니다.
최신 변종 중 하나는 Check Point에 의해 발견되어 분석되었습니다, Apple의 XProtect가 데이터를 보호하기 위해 사용하는 것과 유사한 문자열 암호화 알고리즘을 채택한 고유의 회피 기술을 사용합니다. Banshee는 문자열을 난독화하고 실행 중일 때만 복호화하여 전통적인 정적 탐지 방법을 효과적으로 피합니다. 이러한 접근 방식은 탐지 가능성을 줄이고 macOS 및 타사 안티멀웨어 도구가 오랜 기간 감염을 놓칠 수 있게 할 수도 있습니다.
연구원들에 따르면, 이 새로운 Banshee Stealer 변종을 뒷받침하는 캠페인은 여전히 진행 중이며, 주로 가짜 GitHub 리포지토리를 통해 샘플을 퍼뜨리고 macOS 사용자를 합법적인 소프트웨어로 가장하여 속이고 있습니다. 동일한 위협 주체들은 또한 Lumma Stealer.
를 활용하여 Windows 사용자들을 표적으로 삼고 있습니다.
흥미롭게도, 캠페인 운영자는 러시아어가 기본 언어 설정인 시스템에서 감염을 차단하던 러시아 언어 필터를 제거했습니다. 이 변경은 현재 운영자와 원래 Banshee 개발자 간의 불일치 또는 잠재적 피해자의 범위를 확장하려는 의도를 시사합니다. SOC Prime 플랫폼 지속적인 멀웨어의 발전은 사이버 보안 인식을 높이고 능동적인 방어의 긴급한 필요성을 강조합니다. 집단적인 사이버 방어를 위한 해결책은 다양한 산업의 조직뿐만 아니라 개별 연구자들에게도 최첨단 솔루션을 제공하여 신종 멀웨어 변종 및 증가하는 APT 공격 물결을 포함한 사이버 위협을 앞서 방어할 수 있습니다.