Исследователи Elastic Security Labs обнаружили новое вредоносное ПО, нацеленное на более чем 100 расширений браузера на системах Apple macOS.
Вредоносное ПО название Banshee Stealer и реализуется в киберподполье по цене в 3000 долларов за месяц использования.
Работает как на архитектурах x86_64, так и на ARM64.
Banshee Stealer нацелен на Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic и Ledger, а также криптокошельки и около 100 расширений браузеров.
Попав в систему, вредонос вытаскивает данные из связки ключей iCloud: пароли и заметки. Дополнительно Banshee пытается препятствовать анализу и отладке: в процессе запуска проверяется наличие виртуальной среды.
Вредоносное ПО включает в себя ряд мер по борьбе с анализом и отладкой, позволяющих определить, работает ли он в виртуальной среде.
Кроме того, он задействует API CFLocaleCopyPreferredLanguages, чтобы избежать заражения систем, где русский является основным.
Как и другие виды вредоносного ПО для macOS, такие как Cuckoo и MacStealer, использует osascript для отображения поддельного запроса пароля, обманом заставляя ввести системные пароли для повышения привилегий.
Среди других примечательных функций можно отметить возможность сбора файлов с расширениями txt, docx, rtf, doc, wallet, keys и key с рабочего стола и папки с документами.
Собранные данные эксфильтруются в формате архива ZIP на удаленный сервер (45.142.122[.]92/send/).
Поскольку macOS в последнее время все чаще становится целью киберпреступников, Banshee Stealer подчеркивает растущую популярность вредоносного ПО, специфичного для яблочных устройств.
Вредоносное ПО название Banshee Stealer и реализуется в киберподполье по цене в 3000 долларов за месяц использования.
Работает как на архитектурах x86_64, так и на ARM64.
Banshee Stealer нацелен на Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic и Ledger, а также криптокошельки и около 100 расширений браузеров.
Попав в систему, вредонос вытаскивает данные из связки ключей iCloud: пароли и заметки. Дополнительно Banshee пытается препятствовать анализу и отладке: в процессе запуска проверяется наличие виртуальной среды.
Вредоносное ПО включает в себя ряд мер по борьбе с анализом и отладкой, позволяющих определить, работает ли он в виртуальной среде.
Кроме того, он задействует API CFLocaleCopyPreferredLanguages, чтобы избежать заражения систем, где русский является основным.
Как и другие виды вредоносного ПО для macOS, такие как Cuckoo и MacStealer, использует osascript для отображения поддельного запроса пароля, обманом заставляя ввести системные пароли для повышения привилегий.
Среди других примечательных функций можно отметить возможность сбора файлов с расширениями txt, docx, rtf, doc, wallet, keys и key с рабочего стола и папки с документами.
Собранные данные эксфильтруются в формате архива ZIP на удаленный сервер (45.142.122[.]92/send/).
Поскольку macOS в последнее время все чаще становится целью киберпреступников, Banshee Stealer подчеркивает растущую популярность вредоносного ПО, специфичного для яблочных устройств.
