Эксперты обнаружили новую надстройку к стилеру Banshee, разработанную для пользователей платформы macOS. Новая версия вредоносной программы перестала проверять зараженные компьютеры на наличие русского языка и извлекает себя из списков обнаруживаемых программ через шифрование строк Apple XProtect.

Напомним, что Banshee позиционируется как инфостилер для устройств на основе macOS и был впервые замечен в 2024 году. На тот момент, этот стилер действовал по модели “стилер как услуга” и имел возможность извлекать данные из браузеров, крипто кошельков, подходящих определенным условиям и даже файлы. Этот мутант монстра продавался за 3000 долларов во всемирной паутине.

С октября 2024 года некоторые хакеры начали распостранять новый мак стиляр, а вместе с ним и инструмент для взлома. Узнав об этом, остальные злоумышленники начали разрабатывать свое зловредное ПО на основе Banshee.

Как сообщает Check Point, недавно была обнаружена старая ненайденная версия Banshee, все еще активная и работающая на других методах шифрования, что дает больше возможности к перехвату. Более того, эта версия стиля устраняет весь графический интерфейс целиком, независимо от пользователей из России, а значит намерения злоумышленников расширять зону атаки.

Apple XProtect — это технология обнаружения вредоносных программ, встроенная в macOS. Она использует набор правил, похожих на антивирусные сигнатуры, для выявления и блокировки известных угроз. Замеченная исследователями вариация Banshee использует алгоритм шифрования строк, который XProtect применяет для защиты собственных данных. Зашифровывая строки и расшифровывая их только во время выполнения, Banshee избегает стандартных статических методов обнаружения. Кроме того, специалисты полагают, что сама macOS и сторонние средства защиты тоже относятся к этому методу шифрования с меньшим подозрением, что позволяет стилеру дольше оставаться незамеченным.

Исследователи отмечают, что эта версия Banshee в основном распространяется через мошеннические репозитории на GitHub, якобы предлагающие различный софт. При этом операторы малвари также атакуют и пользователей Windows, но уже с помощью стилера Lumma.

Новая версия стилера Banshee атакует российских пользователей macOS