Naudodama „Apple“ patentuotą eilutės šifravimą, kenkėjiška programinė įranga kelis mėnesius išvengė aptikimo.
Vagia prisijungimo duomenis, kripto pinigines ir kitus duomenis
Pastebėta, kad „Banshee“ kenkėjiškos programos variantas, skirtas „macOS“ sistemai, klaidina aptikimo sistemas nauja simbolių eilutės šifravimo technika, nukopijuota iš „Apple“ vidinio algoritmo.
Bendrovės „Check Point“ tyrime teigiama, kad „Banshee“ platino kenkėjišką programą naudodami sukčiavimo svetaines ir suklastotas „GitHub“ saugyklas, dažnai apsimesdami populiaria programine įranga, pavyzdžiui, „Google Chrome“, „Telegram“ ar „TradingView“.
Ši kenkėjiška programinė įranga žinoma dėl to, kad vagia naršyklės prisijungimo duomenis, kriptovaliutų pinigines ir kitus slaptus duomenis.
Kibernetinio saugumo ekspertė Ngoc Bui teigė, kad naujas kenkėjiškos programos variantas atskleidžia reikšmingą „Mac“ saugumo spragą.
„Nors įmonės vis dažniau diegia „Apple“ ekosistemas, saugumo įrankiai nuo jų atsilieka. Net ir pažangiausi EDR sprendimai turi apribojimų „Mac“ sistemose, todėl organizacijos lieka neatsparios tam tikroms grėsmės. Reikia daugiasluoksnio požiūrio į saugumą, įskaitant daugiau apmokytų specialistų, dirbančių „Mac“ aplinkose“, – teigė N. Bui.
Pavogtas „Apple“ šifravimo algoritmas padėjo išvengti aptikimo
„CheckPoint“ tyrėjai nustatė, kad naujasis „Banshee“ variantas naudoja pavogtą eilutės šifravimo algoritmą iš „Apple“ „XProtect“ variklio. Tai priežastis, kodėl kenkėjiškai programai pavyko išvengti aptikimo daugiau nei du mėnesius.
Naujasis variantas atsisakė pradinėje versijoje naudotų paprasto teksto eilučių, o nukopijavo „Apple“ eilučių šifravimo algoritmą. Pastarasis gali būti naudojamas URL adresams, komandoms ir jautriems duomenims užšifruoti, kad jų nebūtų galima perskaityti ar aptikti statinės analizės priemonėmis, kurias antivirusinės sistemos naudoja ieškodamos žinomų kenkėjiškų požymių.
„Kadangi įsilaužėliai tobulina savo metodus, įskaitant šifravimo metodus, įkvėptus vietinių saugumo priemonių, akivaizdu, kad įmonės nebegali pasikliauti senomis prielaidomis apie platformų saugumą.
Tokios sudėtingos kenkėjiškos programos, kaip „Banshee Stealer“, gali apeiti tradicines apsaugos priemones, pasinaudodamos pavogtais įgaliojimais ir naudotojų klaidomis“, – sakė kibernetinio saugumo ekspertas Jamesas Scobey.
Pašalinta rusų kalba
Kitas svarbus skirtumas, kurį pastebėjo „Check Point“ tyrimas, yra tas, kad versijoje pašalinta rusų kalbos patikra.
„Ankstesnės kenkėjiškos programos versijos nutraukdavo operacijas, jei aptikdavo rusų kalbą, greičiausiai siekdamos išvengti taikinių konkrečiuose regionuose. Šios funkcijos pašalinimas rodo, kad išsiplėtė galimi kenkėjiškos programos taikiniai“, – rašoma tyrėjų tinklaraščio įraše.
Į „Banshee macOS Stealer“ dėmesys atkreiptas 2024 m. viduryje tokiuose forumuose kaip „XSS“, „Exploit“ ir „Telegram“. Programišiai galėjo ją įsigyti už 3 tūkst. JAV dolerių ir nukreipti į „MacOS“ naudotojus.
Tačiau 2024 m. lapkritį „Banshee“ veikla ėmė strigti po to, kai „XSS“ forumuose nutekėjo jos išeities kodas, todėl ji buvo viešai uždaryta. Dėl nutekėjimo pagerėjo antivirusinių programų aptikimas, tačiau kilo nerimas dėl kitų veikėjų kuriamų naujų variantų.