新的 macOS 恶意软件Banshee Stealer 可窃取包括浏览器数据、加密货币钱包和浏览器扩展的数据

俄罗斯网络犯罪分子正在宣传一种名为 Banshee Stealer 的新 macOS 恶意软件，每月订阅价格为 3,000 美元。

2024 年 8 月，俄罗斯骗子宣传了一种名为 BANSHEE Stealer 的 macOS 恶意软件，该恶意软件可以针对 x86_64 和 ARM64 架构。恶意软件作者声称它可以从受感染的系统中窃取大量数据，包括浏览器数据、加密货币钱包和大约 100 个浏览器扩展。

BANSHEE Stealer 采用基本的规避技术，它依赖于 sysctl API 来检测调试，并通过运行命令来检查硬件模型标识符中是否出现“虚拟”来检查虚拟化。此外，该恶意软件通过 CFLocaleCopyPreferredLanguages API 检查用户的首选语言，从而避免针对以俄语为主要语言的系统。但是，这些方法很简单，高级沙箱和恶意软件分析师可以绕过这些方法。

该恶意软件的发现凸显了对特定于macOS的恶意软件的日益关注，因为该平台成为网络犯罪分子更频繁的目标。

Elastic Security Labs 的研究人员分析了该恶意软件，并确认它可以从多个浏览器窃取钥匙串密码和数据。

Banshee Stealer 可以定位来自九种不同浏览器的数据，Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGX 和 Safari。该恶意软件可以收集 cookie、登录信息和浏览历史记录，但只能从 Safari 收集 cookie。Elastic 研究人员注意到，关于 Safari，当前版本的 AppleScript 脚本仅收集 Cookie。

“此外，从机器中收集了大约 100 个浏览器插件的数据。博客文章末尾提供了这些扩展 ID 的列表，“Elastic Security Labs 发布的报告写道。“收集的文件保存在 <temporary_path>/Browsers 下。”

Banshee Stealer 还可以从不同的钱包中窃取加密货币，包括 Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic 和 Ledger。

收集数据后，恶意软件使用 ditto 命令将包含它们的临时文件夹压缩成 ZIP 文件。然后，对 ZIP 文件进行 XOR 加密、base64 编码，并使用内置的 cURL 命令通过 POST 请求发送到指定的 URL。

“BANSHEE Stealer 是基于 macOS 的恶意软件，可以从系统、浏览器、加密货币钱包和众多浏览器扩展中收集大量数据，”报告总结道。“尽管该恶意软件具有潜在的危险功能，但它缺乏复杂的混淆和调试信息的存在，使分析人员更容易剖析和理解。虽然 BANSHEE Stealer 的设计并不过分复杂，但它对 macOS 系统的关注和收集的数据广度使其成为需要网络安全社区关注的重大威胁。