Siber güvenlik araştırmacıları, macOS odaklı bilgi çalan kötü amaçlı yazılımın yeni ve daha gizli bir sürümünü ortaya çıkardı. Ölüm Perisi Hırsızı.
Check Point Research, “2024’ün sonlarında kaynak kodu sızıntısının ardından hareketsiz olduğu düşünülen bu yeni sürüm, Apple’ın XProtect’inden ilham alan gelişmiş dize şifrelemeyi sunuyor.” söz konusu The Hacker News ile paylaşılan yeni bir analizde. “Bu gelişme, antivirüs sistemlerini atlamasına olanak tanıyarak dünya çapında 100 milyondan fazla macOS kullanıcısı için önemli bir risk oluşturuyor.”
Siber güvenlik şirketi, kötü amaçlı yazılımın Google Chrome, Telegram ve TradingView gibi popüler yazılımlar kisvesi altında kimlik avı web siteleri ve sahte GitHub depoları kullanılarak dağıtıldığı yeni sürümü Eylül 2024’ün sonlarında tespit ettiğini söyledi.
Banshee Stealer ilk olarak Ağustos 2024’te Elastic Security Labs tarafından belgelendi. Hizmet olarak kötü amaçlı yazılım (MaaS) modeli kapsamında diğer siber suçlulara ayda 3.000 ABD doları karşılığında sunulan bu yazılım, web tarayıcılarından, kripto para cüzdanlarından ve belirli uzantılarla eşleşen dosyalardan veri toplama kapasitesine sahip.
Kötü amaçlı yazılım operasyonu, Kasım 2024’ün sonlarında kaynak kodunun internete sızdırılmasıyla bir gerileme yaşadı ve operasyonlarını durdurmaya neden oldu. Ancak Check Point, kötü amaçlı yazılımı kimlik avı web siteleri aracılığıyla dağıtmaya devam eden birden fazla kampanyanın tespit edildiğini ancak bunların önceki müşteriler tarafından gerçekleştirilip gerçekleştirilmediğinin bilinmediğini söyledi.
Yeni varyant, Rusça’yı varsayılan sistem dili olarak ayarlayan Mac’lerin bulaşmasını önlemek için kullanılan Rusça dil kontrolünü kaldırmasıyla dikkat çekiyor. Özelliğin kaldırılması, tehdit aktörlerinin daha geniş bir potansiyel hedef ağı oluşturma arayışında olduğu olasılığını ima ediyor.
Bir diğer önemli güncelleme, Banshee Stealer’ın orijinal sürümünde kullanılan düz metin dizelerini gizlemek için Apple’ın XProtect antivirüs motorundan gelen bir dize şifreleme algoritmasının kullanılmasıdır.
Check Point Research güvenlik araştırma grubu yöneticisi Eli Smadja, The Hacker News ile paylaşılan bir açıklamada, “Modern kötü amaçlı yazılım kampanyaları, yalnızca platforma özgü kusurlardan değil, yaygın insan güvenlik açıklarından da yararlanıyor.” dedi. “MacOS, diğer tüm işletim sistemleri gibi, özellikle siber suçluların sosyal mühendislik ve sahte yazılım güncellemeleri gibi gelişmiş teknikler kullanması nedeniyle gelişen bu tehditlere maruz kalıyor.”
Bu gelişme, Discord’daki istenmeyen mesajların, yeni bir video oyununu test etme bahanesi altında Nova Stealer, Ageo Stealer ve Hexon Stealer gibi çeşitli hırsız kötü amaçlı yazılım ailelerini yaymak için kullanılmasıyla ortaya çıkıyor.
Malwarebytes, “Çalıcıların ana ilgi alanlarından biri, ele geçirilen hesapların ağını genişletmek için kullanılabilecek Discord kimlik bilgileri gibi görünüyor.” söz konusu. “Bu aynı zamanda onlara da yardımcı oluyor çünkü çalınan bilgilerin bir kısmı kurbanların arkadaşlarının hesaplarını da içeriyor.”
