Banshee恶意软件利用Apple加密技术成功规避检测

关键要点

• Banshee恶意软件通过使用Apple专有的字符串加密技术，成功规避了检测长达两个月。
• Check Point的研究表明，该恶意软件通过伪装成流行软件的钓鱼网站传播。
• Cybersecurity专家强调了Mac安全的关键漏洞，需要采取多层次的安全措施。
• Banshee的一个新变种移除了俄语检查，表明其可能的新所有权及扩展操作。


信用：Shutterstock

一种变种的Banshee macOS信息窃取软件利用来自Apple内部算法的字符串加密技术，成功欺骗了检测系统。CheckPoint的研究在该变种经过两个月的成功隐蔽后发现了它。

研究证实，恶意行为者通过网站和虚假的GitHub代码库传播Banshee，通常伪装成流行的软件，如谷歌Chrome、Telegram和TradingView。

Menlo Security的网络安全专家NgocBui表示，这一新变种揭示了Mac安全方面的重大缺口。他指出：“尽管企业越来越多地采用Apple生态系统，但安全工具的进步并没有与之保持同步。即使是领先的解决方案在Mac上也存在局限，使得组织面临显著的盲区。我们需要采取多层次的安全措施，包括培养更多在Mac环境方面受过训练的猎手。”

该恶意软件以窃取浏览器凭据、加密货币钱包及其他敏感数据而闻名。

利用苹果自身的技术

Check Point的研究人员发现Banshee新变种使用了来自AppleXProtect引擎的“窃取”字符串加密算法，这可能使其具备了超过两个月规避检测的能力。

该变种放弃了原版中使用明文字符串的做法，复制了Apple的字符串加密，这种加密可以用于加密URL、命令及敏感数据，使其不易被杀毒系统使用的静态分析工具读取或识别。

Keeper Security的首席信息安全官JamesScobey表示：“随着攻击者精细化他们的技术，利用受本地安全工具影响的加密方法，企业显然不能再依赖于关于平台安全的传统假设。像BansheeStealer这样复杂的恶意软件可以绕过传统防御，利用被盗凭据和用户错误。”

Banshee 2.0

Check Point研究还注意到该变种的另一个关键差异是移除了俄语检查，暗示其可能的新所有权及扩展运营。

“早期的恶意软件版本一旦检测到俄语就会终止操作，这可能是为了避免针对特定地区，”研究人员在一篇中表示。“移除此功能表明恶意软件的潜在目标有所扩展。”

Banshee macOSStealer在2024年中期引起了广泛关注，并在XSS、Exploit及Telegram等论坛上宣传为“窃取即服务”的解决方案。恶意行为者可以用3000美元购买该工具以针对macOS用户。

然而，在2024年11月，Banshee的操作发生了剧变，其在XSS论坛上流出，导致其公开关闭。泄露事件加强了杀毒检测，但也引发了关于其他行为者可能开发出新变种的担忧。