- 14,827
- 22
- 8 Ноя 2022
Криптокошельки и пароли оказались под прицелом нового вредоноса.
В последние месяцы исследователи компании Check Point Для просмотра ссылки Войдиили Зарегистрируйся новую версию вредоносной программы Banshee, нацеленной на пользователей macOS . Этот инфостилер умеет похищать данные браузеров, криптокошельков и прочую конфиденциальную информацию с устройств. Основной особенностью обновления стала шифровка строк, заимствованная у системы XProtect , встроенной антивирусной защиты macOS.
Banshee распространяется через фишинговые сайты и вредоносные репозитории на GitHub , маскирующиеся под популярные программы. Злоумышленники также использовали Windows-ориентированный Lumma Stealer для расширения атак.
До ноября 2024 года данный сервис «стилер как услуга» оценивался в $3000 и активно рекламировался в Telegram и на форумах XSS и Exploit. Однако утечка исходного кода вынудила автора прекратить работу, хотя обновлённые версии всё ещё распространяются среди киберпреступников.
Для обхода анализа вредоносный код использует форки процессов, имитирует системные службы и работает в фоновом режиме. Среди целей — браузеры Chrome, Brave, Edge, Vivaldi, расширения для криптовалютных кошельков и двухфакторной аутентификации. Также программа запрашивает у пользователя ввод пароля через системные всплывающие окна, чтобы похитить ключевые данные.
Banshee нацелена на системы macOS, что подчёркивает изменение приоритетов киберпреступников. В целом, macOS долго считалась безопасной благодаря Unix -архитектуре и меньшей популярности, но рост её доли на рынке делает платформу более привлекательной для атак.
С сентября по ноябрь Banshee оставалась незамеченной антивирусами, что позволило злоумышленникам проводить успешные кампании. Позднее исходный код был раскрыт, что привело к обновлению правил обнаружения, но также создало риск появления новых форков вредоносной программы.
Репозитории на GitHub играли ключевую роль в распространении. Вредоносные кампании проводились в три волны, начиная с октября. Зловредные файлы маскировались под установщики популярных программ, таких как Telegram и TradingView. Некоторые сайты использовали определение операционной системы пользователя, чтобы направить только владельцев macOS на загрузку вредоносного файла.
Эксперты предупреждают, что пользователи macOS не должны полагаться исключительно на встроенные средства защиты. Регулярные обновления, осторожность при открытии ссылок и использование антивирусных решений остаются важными мерами безопасности. Кроме того, необходимо повышать уровень осведомлённости о современных угрозах, чтобы минимизировать риск атак.
В последние месяцы исследователи компании Check Point Для просмотра ссылки Войди
Banshee распространяется через фишинговые сайты и вредоносные репозитории на GitHub , маскирующиеся под популярные программы. Злоумышленники также использовали Windows-ориентированный Lumma Stealer для расширения атак.
До ноября 2024 года данный сервис «стилер как услуга» оценивался в $3000 и активно рекламировался в Telegram и на форумах XSS и Exploit. Однако утечка исходного кода вынудила автора прекратить работу, хотя обновлённые версии всё ещё распространяются среди киберпреступников.
Для обхода анализа вредоносный код использует форки процессов, имитирует системные службы и работает в фоновом режиме. Среди целей — браузеры Chrome, Brave, Edge, Vivaldi, расширения для криптовалютных кошельков и двухфакторной аутентификации. Также программа запрашивает у пользователя ввод пароля через системные всплывающие окна, чтобы похитить ключевые данные.
Banshee нацелена на системы macOS, что подчёркивает изменение приоритетов киберпреступников. В целом, macOS долго считалась безопасной благодаря Unix -архитектуре и меньшей популярности, но рост её доли на рынке делает платформу более привлекательной для атак.
С сентября по ноябрь Banshee оставалась незамеченной антивирусами, что позволило злоумышленникам проводить успешные кампании. Позднее исходный код был раскрыт, что привело к обновлению правил обнаружения, но также создало риск появления новых форков вредоносной программы.
Репозитории на GitHub играли ключевую роль в распространении. Вредоносные кампании проводились в три волны, начиная с октября. Зловредные файлы маскировались под установщики популярных программ, таких как Telegram и TradingView. Некоторые сайты использовали определение операционной системы пользователя, чтобы направить только владельцев macOS на загрузку вредоносного файла.
Эксперты предупреждают, что пользователи macOS не должны полагаться исключительно на встроенные средства защиты. Регулярные обновления, осторожность при открытии ссылок и использование антивирусных решений остаются важными мерами безопасности. Кроме того, необходимо повышать уровень осведомлённости о современных угрозах, чтобы минимизировать риск атак.
- Источник новости
- www.securitylab.ru
