Banshee: بدافزاری که مکانیسم‌های دفاعی macOS را علیه کاربران به‌کار می‌گیرد

[محمود 8080]

به گزارش ترفندستان به نقل از کانال تلگرامی ITsec NEWS
.
در ماه‌های اخیر، محققان شرکت Check Point نسخه جدیدی از بدافزار Banshee را که کاربران macOS را هدف قرار می‌دهد، رصد کرده‌اند. این بدافزار اطلاعاتی قادر است داده‌های مرورگرها، کیف‌پول‌های رمزنگاری و سایر اطلاعات محرمانه را از دستگاه‌ها سرقت کند. ویژگی برجسته این نسخه، استفاده از الگوریتم رمزنگاری رشته‌ها است که از سیستم XProtect، مکانیزم ضدویروس داخلی macOS، اقتباس شده است.


Banshee از طریق وب‌سایت‌های فیشینگ و مخازن مخرب در GitHub که به‌عنوان برنامه‌های محبوب جا زده می‌شوند، توزیع می‌شود. مهاجمان همچنین از Lumma Stealer که برای ویندوز طراحی شده است، برای گسترش حملات خود بهره برده‌اند.


تا نوامبر ۲۰۲۴، این سرویس «سرقت به‌عنوان خدمت» با قیمت ۳۰۰۰ دلار عرضه و در تلگرام و انجمن‌های XSS و Exploit تبلیغ می‌شد. با این حال، افشای کد منبع آن، نویسنده را مجبور به توقف فعالیت کرد، هرچند نسخه‌های به‌روزشده همچنان در میان مجرمان سایبری منتشر می‌شوند.


برای دور زدن تحلیل‌ها، کد مخرب از فرآیندهای فرعی استفاده کرده، سرویس‌های سیستمی را شبیه‌سازی می‌کند و در پس‌زمینه فعالیت می‌نماید. اهداف آن شامل مرورگرهای Chrome، Brave، Edge، Vivaldi، افزونه‌های کیف‌پول‌های رمزنگاری و احراز هویت دو مرحله‌ای است. همچنین برنامه از طریق پنجره‌های پاپ‌آپ سیستمی از کاربر درخواست وارد کردن رمز عبور می‌کند تا داده‌های کلیدی را سرقت کند.


Banshee سیستم‌های macOS را هدف قرار می‌دهد که نشان‌دهنده تغییر اولویت‌های مجرمان سایبری است. به‌طور کلی، macOS به‌دلیل معماری Unix و محبوبیت کمتر، به‌عنوان سیستم‌عاملی امن تلقی می‌شد، اما افزایش سهم آن در بازار، این پلتفرم را برای حملات جذاب‌تر کرده است.


از سپتامبر تا نوامبر، Banshee بدون شناسایی توسط آنتی‌ویروس‌ها فعالیت می‌کرد که به مهاجمان امکان اجرای کمپین‌های موفق را می‌داد. بعدها، با افشای کد منبع، قوانین شناسایی به‌روزرسانی شدند، اما این امر خطر ظهور نسخه‌های جدید بدافزار را نیز افزایش داد.


مخازن GitHub نقش کلیدی در توزیع داشتند. کمپین‌های مخرب در سه موج از اکتبر آغاز شدند. فایل‌های مخرب به‌عنوان نصب‌کننده‌های برنامه‌های محبوبی مانند Telegram و TradingView جا زده می‌شدند. برخی سایت‌ها با تشخیص سیستم‌عامل کاربر، فقط دارندگان macOS را به دانلود فایل مخرب هدایت می‌کردند.


کارشناسان هشدار می‌دهند که کاربران macOS نباید تنها به ابزارهای داخلی امنیتی اکتفا کنند. به‌روزرسانی‌های منظم، احتیاط در باز کردن لینک‌ها و استفاده از راهکارهای آنتی‌ویروس همچنان از اقدامات مهم امنیتی هستند. علاوه بر این، افزایش آگاهی درباره تهدیدات مدرن برای کاهش ریسک حملات ضروری است.