Los investigadores de ciberseguridad han descubierto un nuevo malware ladrón diseñado específicamente para atacar los sistemas macOS de Apple.
Conocido como Banshee Stealer, se ofrece a la venta en el mundo del cibercrimen por un elevado precio de 3.000 dólares al mes y funciona en arquitecturas x86_64 y ARM64.
«Banshee Stealer ataca a una amplia gama de navegadores, billeteras de criptomonedas y alrededor de 100 extensiones de navegador, lo que lo convierte en una amenaza muy versátil y peligrosa», Elastic Security Labs dicho en un informe del jueves.
Los navegadores web y las billeteras de criptomonedas atacadas por el malware incluyen Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic y Ledger.
También está equipado para recopilar información del sistema y datos de las contraseñas y notas de iCloud Keychain, así como incorporar una serie de medidas anti-análisis y anti-depuración para determinar si se está ejecutando en un entorno virtual en un intento de evadir la detección.
Además, hace uso de la CFLocaleCopyIdiomas preferidos API para evitar infectar sistemas donde el ruso es el idioma principal.
Al igual que otras cepas de malware de macOS como Cuco y MacStealer, Banshee Stealer también aprovecha osascript para mostrar un mensaje de contraseña falso para engañar a los usuarios para que ingresen sus contraseñas del sistema para la escalada de privilegios.
Entre otras características destacables se incluye la capacidad de recopilar datos de varios archivos con extensiones .txt, .docx, .rtf, .doc, .wallet, .keys y .key de las carpetas Escritorio y Documentos. Los datos recopilados se exfiltran luego en un formato de archivo ZIP a un servidor remoto («45.142.122[.]92/enviar/»).
«A medida que macOS se convierte cada vez más en un objetivo principal para los ciberdelincuentes, Banshee Stealer subraya la creciente vigilancia del malware específico para macOS», afirmó Elastic.
La revelación se produce cuando Hunt.io y Kandji detallado otra cepa de ladrón de macOS que aprovecha SwiftUI y las API de Open Directory de Apple para capturar y verificar las contraseñas ingresadas por el usuario en un mensaje falso que se muestra para completar el proceso de instalación.
«Comienza ejecutando un cuentagotas basado en Swift que muestra una solicitud de contraseña falsa para engañar a los usuarios», dijo Symantec, propiedad de Broadcom. dicho«Después de capturar las credenciales, el malware las verifica utilizando la API OpenDirectory y posteriormente las descarga y ejecuta. scripts maliciosos desde un servidor de comando y control.»
Este desarrollo también sigue el emergencia continua de nuevos ladrones basados en Windows como Ladrón de llamasincluso cuando sitios falsos haciéndose pasar por la herramienta de inteligencia artificial (IA) de texto a video de OpenAI, Sorase están utilizando para propagar Braodo Stealer.
Por otra parte, los usuarios israelíes están siendo… Dirigido con correos electrónicos de phishing que contienen archivos adjuntos en formato RAR que se hacen pasar por Calcalist y Mako para entregar Rhadamanthys Stealer.