Banshee 2.0-Malware stiehlt Apples Verschlüsselung, um sich auf Macs zu verstecken

Like
Zufrieden

Datum:

Antivirenprogramme haben festgestellt, dass der macOS-Infostealer „Banshee“ mithilfe eines von Apple gestohlenen String-Verschlüsselungsalgorithmus skatet.

Banshee verbreitet sich seit Juli, vor allem über russische Cybercrime-Marktplätze, wo es als 1,500 Dollar teures „Stealer-as-a-Service“-Programm für Macs verkauft wurde. Es ist darauf ausgelegt, Anmeldeinformationen aus Browsern stehlen — Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex und Opera — und Browsererweiterungen, die mit Kryptowährungs-Wallets verknüpft sind — Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum und Exodus. Außerdem werden zusätzliche Informationen über Zielsysteme abgerufen, darunter Software- und Hardwarespezifikationen und das zum Entsperren des Systems erforderliche Passwort.

Es war alles andere als ein perfektes Tool und wurde von vielen Antivirenprogrammen erkannt, was teilweise daran lag, dass es vollständig im Klartext verpackt war. Doch am 26. September entdeckten Forscher von Check Point eine potentere Variante. Diese erfolgreichere Variante blieb ansonsten monatelang unentdeckt, vor allem weil sie verschlüsselt war mit derselbe Algorithmus, der auch von Apples Xprotect verwendet wird Antivirus-Tool für macOS.

Banshee-Malware stiehlt von XProtect

XProtect ist Apples anderthalb Jahrzehnte alte Anti-Malware-Engine für macOS. Um Malware zu erkennen und zu blockieren, verwendet es „Remediator“-Binärdateien, die verschiedene Methoden und Tools zum Virenschutz kombinieren, darunter YARA-Regeln, die Muster und Signaturen enthalten, die mit bekannten Bedrohungen verknüpft sind.

Check Point stellte fest, dass derselbe Verschlüsselungsalgorithmus, der die YARA-Regeln von XProtect schützt, auch die September-Variante von Banshee verbarg.

Es ist nicht klar, wie der Autor der Malware – Nom de Guerre „0xe1“ oder „kolosain“ – Zugriff auf diesen Algorithmus erhielt.

„Es könnte sein, dass sie ein Reverse Engineering der XProtect-Binärdateien durchgeführt oder sogar relevante Veröffentlichungen gelesen haben, aber das können wir nicht bestätigen“, spekuliert Antonis Terefos, Reverse Engineer bei Check Point Research. „Sobald die String-Verschlüsselung von macOS XProtect bekannt wird – also die Art und Weise, wie das Antivirusprogramm die YARA-Regeln speichert, rückwärts entwickelt wurde – können Bedrohungsakteure die String-Verschlüsselung für böswillige Zwecke leicht ‚neu implementieren‘“, sagt er.

So oder so war der Effekt signifikant. „Die Mehrheit der Antivirenlösungen in VirusTotal erkannte die ersten Banshee-Beispiele im Klartext, aber als der Entwickler diesen neuartigen Algorithmus zur String-Verschlüsselung einführte, erkannte ihn keine der etwa 65 Antiviren-Engines in VirusTotal“, sagt er.

Das blieb etwa zwei Monate lang so. Dann, am 23. November, wurde der Quellcode von Banshee im russischsprachigen Cybercrime-Forum „XSS“ geleakt. 0xe1 stellte seinen Malware-as-a-Service-Betrieb (MaaS) ein, und die Antivirenanbieter bauten zu gegebener Zeit die damit verbundenen YARA-Regeln ein. Aber selbst danach, so berichtet Terefos, blieb das verschlüsselte Banshee von den meisten Engines auf VirusTotal unentdeckt.

So verbreitet sich Banshee Stealer bei Cyberangriffen

Seit Ende September hat Check Point mehr als 26 Kampagnen identifiziert, die Banshee verbreiten. Grob gesagt können sie in zwei Gruppen eingeteilt werden.

In drei Kampagnenwellen von Mitte Oktober bis Anfang November verbreiteten Bedrohungsakteure den Infostealer über GitHub-Repositories. Die Repositories versprachen den Benutzern gecrackte Versionen beliebter Software, wie etwa Adobe-Programme und verschiedene Bild- und Videobearbeitungstools. Die Malware war hinter generischen Dateinamen wie „Setup“, „Installer“ und „Update“ verborgen. Derselbe Aktivitätscluster zielte mit dem beliebten Lumma Stealer auch auf Windows-Benutzer ab.

Die übrigen Kampagnen verbreiteten Banshee über Phishing-Sites in der einen oder anderen Form. In diesen Fällen tarnten die Angreifer die Malware als verschiedene beliebte Softwareprogramme, darunter Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT und Telegram. Wenn ein Besucher macOS verwendete, erhielt er einen Download-Link.

Weitere, unterschiedliche Kampagnen könnten auf dem Weg sein, jetzt, da Banshee durchgesickert ist. So sagt Terefos: „Obwohl macOS traditionell als sicherer gilt, zeigt der Erfolg von Banshee, wie wichtig es für macOS-Benutzer ist, wachsam zu bleiben und sich der Bedrohungen"

In Verbindung stehende Artikel

spot_img

Aktuelle Artikel

spot_img