L’infostealer Banshee usa Apple XProtect per eludere il rilevamento: come proteggersi

Secondo Check Point Research, sfruttando l’algoritmo di crittografia di Apple XProtect, una nuova versione dell’infostealer Banshee per macOS ruba informazioni alle vittime del malware.

È emerso a metà del 2024 come stealer-as-a-service disponibile ai criminali informatici al prezzo di 3.000 dollari.

“La nuova variante di Banshee Stealer rappresenta un’evoluzione significativa nel panorama delle minacce informatiche contro macOS”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus.

Infatti, “combina sofisticate tecniche di evasione con una strategia di distribuzione ampia e mirata”, evidenzia Riccardo Michetti, Cyber threat intelligence technical lead di Tinexta Cyber.

Ecco come proteggersi.

Infostealer Banshee: perché è temibile

Banshee è un infostealer, focalizzato sui sistemi macOS, capace di eludere il rilevamento. Lo ha fatto nel corso degli ultimi due mesi, adottando la crittografia delle stringhe di XProtect di Apple.

Il suo codice sorgente è trapelato sui forum XSS nel novembre 2024, portando alla chiusura del progetto al pubblico e creando l’opportunità per altri sviluppatori di malware di migliorarlo.

“La disponibilità del codice sorgente contribuirà infatti alla creazione di nuove versioni del malware da parte di diversi attori“, spiega Paganini, “che potrebbero implementare nuove funzionalità accrescendone la complessità e capacità di evasione“.

I ricercatori di Check Point hanno scoperto che il metodo di crittografia presente in Banshee gli permette di confondersi con le normali operazioni, apparendo legittimo, mentre, al contrario, raccoglie informazioni sensibili dagli host infetti.

Un altro cambiamento riguarda il fatto che non evita più i sistemi appartenenti a utenti russi.

L’algoritmo di crittografia di Apple XProtect

XProtect di Apple è la tecnologia di rilevamento del malware integrata in macOS. Sfrutta una serie di criteri, simili alle firme antivirus, per identificare e bloccare il malware conosciuto.

L’ultima versione di Banshee Stealer ha adottato un algoritmo di crittografia delle stringhe che XProtect stesso utilizza per proteggere i propri dati.

“Nel caso specifico, l’introduzione di tecniche avanzate come la crittografia ispirata a XProtect e l’eliminazione di controlli regionali“, mette in guardia Paganini, “dimostra che gli attori dietro il malware-as-a-service puntano a un pubblico più ampio espandendo le proprie operazioni“.

Criptando le sue stringhe e decriptandole solo in fase di esecuzione, Banshee può eludere i metodi di rilevamento statico standard.

“La variante più recente, chr introduce un algoritmo di crittografia delle stringhe ispirato a XProtect, il sistema antivirus nativo di Apple, consente al malware di eludere i sistemi di rilevamento tradizionali, rendendolo particolarmente insidioso”, conferma Michetti.

È anche possibile che macOS e gli strumenti anti-malware di terze parti trattino questa particolare tecnica di crittografia percependo un livello inferiore di sospetto, consentendo così a Banshee di operare senza correre il rischio di essere individuato per periodi più lunghi.

I dettagli: cosa ruba l’infostealer Banshee

La distribuzione dell’ultima variante di Banshee stealer avviene principalmente mediante repository GitHub ingannevoli che prendono di mira gli utenti di macOS attraverso l’impersonificazione del software. Gli stessi operatori hanno nel mirino anche gli utenti Windows, ma con Lumma Stealer.

“La distribuzione avviene tramite campagne di phishing mirate e repository GitHub falsi, con il malware che si maschera come software legittimi popolari, tra cui Google Chrome, Telegram e TradingView“, sottolinea Michetti: i ricercatori hanno “osservato anche un uso combinato di Banshee Stealer per MacOS e Lumma Stealer per Windows, a dimostrazione di una strategia cross-platform volta a massimizzare i danni“.

Check Point riporta che, mentre l’operazione Banshee malware-as-a-service è inattiva da novembre, diverse campagne di phishing hanno continuato a distribuire il malware da quando è trapelato il codice sorgente.

L’infostealer punta a raccogliere i dati memorizzati nei browser più diffusi (ad esempio Chrome, Brave, Edge e Vivaldi), tra cui password, estensioni di autenticazione a due fattori e portafogli di criptovalute.

Raccoglie, inoltre, informazioni di base sul sistema e sulla rete dell’host e propone alle vittime prompt di login ingannevoli per rubare le loro password macOS.