A Banshee trójai legújabb variánsa sikeresen kerülte meg az Apple által biztosított egyik fontos védelmi vonalat.
A Banshee egy olyan trójai program, amely kifejezetten macOS alapú rendszereken való károkozásokra termett. Először 2024 nyarán tűnt fel a színen, amikor alvilági fórumokon 3000 dollárért vált megvásárolhatóvá egy stealer-as-a-service szolgáltatás formájában. Novemberben aztán a forráskódja kiszivárgott az internetre, aminek következtében a mögötte álló kiberbanda felhagyott a trójai „árusításával”. Ugyanakkor megnyílt az út mások előtt, hogy a forráskód felhasználásával újabb variánsokat hozzanak létre. A legutóbbi hírek szerint sajnos ez meg is történt.
A Check Point biztonsági kutatói egy olyan Banshee változatot vizsgáltak, amelyről kiderült, hogy az legalább két hónapon keresztül sikeresen tudta megkerülni az Apple XProtect védelmet. Mindezt úgy tette, hogy egy olyan titkosítási módszert alkalmazott, amelyet maga az XProtect is, és a kritikus összetevőit csak működés közben dekódolta. Emiatt az Apple védelmi technológiája nem találta gyanúsnak a szerzeményt, amely végre tudta hajtani az adatlopással kapcsolatos feladatait.
A Banshee megvizsgált variánsa – hasonlóan az elődjeihez – elsősorban webböngészőkben eltárolt felhasználói adatok kiszivárogtatását végezi, de különféle (például jelszókezelő, kriptotárca, MFA) bővítményeket is célkeresztbe állít. Mindezek mellett alkalmas rendszer- és felhasználói adatok összegyűjtésére, valamint hamis dialógusablakok megjelenítésével a felhasználó macOS jelszavának kipuhatolására.
A Banshee legújabb variánsának további érdekessége, hogy míg a korábbi kiadásai az orosz felhasználók számítógépeit nem támadta, addig az új verzióban ilyen kivételezés már nincs.
Forrás: biztonsagportal.hu
Kép forrása: thehackernews.com