Siber güvenlik araştırmacıları, özellikle Apple macOS sistemlerini hedef almak üzere tasarlanmış yeni bir hırsız kötü amaçlı yazılım ortaya çıkardı.
Banshee Stealer adı verilen bu yazılım, siber suç dünyasında aylık 3.000 dolar gibi yüksek bir fiyata satışa sunuluyor ve hem x86_64 hem de ARM64 mimarilerinde çalışıyor.
“Banshee Stealer çok çeşitli tarayıcıları, kripto para cüzdanlarını ve yaklaşık 100 tarayıcı uzantısını hedef alıyor ve bu da onu oldukça çok yönlü ve tehlikeli bir tehdit haline getiriyor,” Elastic Security Labs söz konusu Perşembe günü yayınlanan bir raporda.
Kötü amaçlı yazılımın hedef aldığı web tarayıcıları ve kripto cüzdanları arasında Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic ve Ledger yer alıyor.
Ayrıca iCloud Keychain parolaları ve Notlar’dan sistem bilgilerini ve verilerini toplamak ve tespit edilmekten kaçınmak için sanal bir ortamda çalışıp çalışmadığını belirlemek üzere bir dizi anti-analiz ve anti-hata ayıklama önlemi kullanmak üzere donatılmıştır.
Ayrıca, şunları kullanır: CFLocaleKopyalaTercih EdilenDiller Rusçanın birincil dil olduğu sistemlere bulaşmayı önlemek için API.
Diğer macOS kötü amaçlı yazılım türleri gibi Guguk kuşu ve MacStealer, Banshee Stealer ayrıca ayrıcalık yükseltme için kullanıcıları sistem parolalarını girmeye kandırmak amacıyla sahte bir parola istemi görüntülemek için osascript’i kullanır.
Diğer dikkat çekici özellikler arasında Masaüstü ve Belgeler klasörlerinden .txt, .docx, .rtf, .doc, .wallet, .keys ve .key uzantılarıyla eşleşen çeşitli dosyalardan veri toplama yeteneği yer alır. Toplanan veriler daha sonra bir ZIP arşivi biçiminde uzak bir sunucuya (“45.142.122[.]92/gönder/”).
Elastic, “macOS giderek siber suçlular için birincil hedef haline gelirken, Banshee Stealer macOS’a özgü kötü amaçlı yazılımların giderek daha fazla görüldüğünü gösteriyor” dedi.
Açıklama Hunt.io ve Kandji’nin ayrıntılı Yükleme sürecini tamamlamak için kullanıcının girdiği parolaları sahte bir istemde görüntüleyerek yakalamak ve doğrulamak için SwiftUI ve Apple’ın Açık Dizin API’lerini kullanan bir başka macOS hırsızı türü.
Broadcom’un sahibi olduğu Symantec, “Kullanıcıları aldatmak için sahte bir parola istemi görüntüleyen Swift tabanlı bir dropper çalıştırarak başlıyor” dedi. söz konusu“Kimlik bilgilerini ele geçirdikten sonra, kötü amaçlı yazılım bunları OpenDirectory API’sini kullanarak doğrular ve ardından indirir ve yürütür kötü amaçlı komut dosyaları “bir komuta ve kontrol sunucusundan.”
Bu gelişme aynı zamanda sürekli ortaya çıkış Windows tabanlı yeni hırsızların Alev Hırsızıhatta sahte siteler OpenAI’nin metinden videoya yapay zeka (AI) aracı olarak gizlenen, SoraBraodo Stealer’ı yaymak için kullanılıyor.
Ayrı olarak, İsrailli kullanıcılar hedeflenen Rhadamanthys Stealer’ı ele geçirmek için Calcalist ve Mako gibi görünen RAR arşiv ekleri içeren kimlik avı e-postalarıyla.