在过去的两个月里,适用于macOS的Banshee信息窃取恶意软件的新变体通过采用Apple XProtect的字符串加密方法来逃避检测。这一发展使Banshee能够混入正常的系统操作,并在从受感染的系统收集敏感数据时看起来是合法的。该恶意软件于2024年年中首次出现,以3,000美元的价格作为窃取程序即服务销售,其源代码于2024年11月在XSS论坛上泄露,为其他恶意软件开发人员提供了增强它的机会。来源。 Check Point Research确定了其中一个新变体,强调最新版本的Banshee使用XProtect的字符串加密算法来规避标准的静态检测方法。这种技术涉及对字符串进行加扰,并且仅在执行过程中对其进行解密,这使得macOS和第三方反恶意软件工具更难检测到它。此外,最新变体不再避免属于俄罗斯用户的系统。 最新的Banshee窃取程序的主要分发方法是通过欺骗性的GitHub存储库,这些存储库冒充合法软件,针对macOS用户。此外,Banshee背后的运营商还使用一种称为Lumma Stealer的不同恶意软件来针对Windows用户。持续的发展表明,一种复杂的网络威胁方法,利用可信的加密技术来避免检测并增强持久性。
