Дослідники з кібербезпеки виявили нове зловмисне програмне забезпечення під назвою Banshee Stealer, спрямоване проти системи Apple macOS, що здатне збирати системну інформацію, паролі та нотатки з iCloud Keychain.

Це універсальне ПЗ, розроблене російськими хакерами, яке продається на підпільних кіберзлочинних форумах за $3000 на місяць і націлене на широкий спектр браузерів, криптовалютних гаманців та близько 100 розширень браузера.

Під загрозою перебувають такі веб-браузери та криптогаманці, як Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic і Ledger.

Він також містить низку заходів проти аналізу та запобігання налагодженню, щоб визначити, чи працює він у віртуальному середовищі, в спробі уникнути виявлення. Крім того, він використовує API CFLocaleCopyPreferredLanguages, щоб уникнути зараження систем, де основною мовою є російська.

Banshee Stealer використовує osascript для відображення підробленого запиту на введення пароля. Це обманом змушує користувачів надати системні паролі, які потім перевіряються за допомогою API OpenDirectory.

Після цього зловмисне ПЗ завантажує та виконує додаткові шкідливі сценарії з віддаленого сервера, збираючи дані з файлів із розширеннями .txt, .docx, .rtf, .doc, .wallet, .keys та .key з папок “Робочий стіл” та “Документи”. Потім ці дані ексфільтруються у форматі ZIP на віддалений сервер кіберзлочинців.

З огляду на зростаючу кількість загроз, таких як Banshee Stealer, користувачам macOS слід бути особливо обережними при роботі з підозрілими файлами та програмами. Кіберзлочинці продовжують розробляти нові методи для викрадення даних, що робить важливим дотримання найвищих стандартів кібербезпеки.