I ricercatori di sicurezza informatica hanno scoperto una nuova e più furtiva versione di un malware per il furto di informazioni focalizzato su macOS, chiamato Banshee Stealer.
Banshee Stealer, come si è “evoluto”
“Considerato inattivo dopo la fuga del suo codice sorgente a fine 2024, questa nuova iterazione introduce un’avanzata crittografia delle stringhe ispirata a XProtect di Apple“, ha dichiarato Check Point Research in una nuova analisi, aggiungendo che “questo sviluppo gli consente di bypassare i sistemi antivirus, rappresentando un rischio significativo per oltre 100 milioni di utenti macOS in tutto il mondo.”
L’azienda di sicurezza informatica ha affermato di aver rilevato la nuova versione a fine settembre 2024, con il malware distribuito attraverso siti di phishing e falsi repository su GitHub, camuffati come software popolari quali Google Chrome, Telegram e TradingView.
Banshee Stealer ieri ed oggi
Banshee Stealer è stato documentato per la prima volta ad agosto 2024 da Elastic Security Labs. Offerto in un modello malware-as-a-service (MaaS) ad altri cybercriminali per 3.000 dollari al mese, è in grado di raccogliere dati da browser web, portafogli di criptovalute e file con estensioni specifiche.
L’operazione legata al malware ha subito un duro colpo a fine novembre 2024, quando il codice sorgente è trapelato online, costringendo i suoi sviluppatori a interrompere le attività. Tuttavia, Check Point ha dichiarato di aver identificato diverse campagne che continuano a distribuire il malware attraverso siti di phishing, sebbene non sia ancora chiaro se siano condotte da ex clienti.
La nuova variante si distingue per l’eliminazione di un controllo della lingua russa, utilizzato nella versione precedente per evitare infezioni sui Mac che avevano impostato il russo come lingua di sistema predefinita e la rimozione di questa funzione suggerisce che i criminali informatici stanno cercando di ampliare il loro raggio d’azione verso un numero maggiore di potenziali vittime.
La sicurezza informatica di Apple, a quanto pare, non è infallibile
Un altro aggiornamento cruciale è l’utilizzo di un algoritmo di crittografia delle stringhe derivato dal motore antivirus XProtect di Apple per offuscare le stringhe di testo in chiaro presenti nella versione originale di Banshee Stealer.
“Le campagne malware moderne sfruttano le comuni vulnerabilità umane, non solo i difetti specifici di una piattaforma“, ha dichiarato Eli Smadja, responsabile del gruppo di ricerca sulla sicurezza di Check Point Research, in una dichiarazione. “MacOS, come qualsiasi altro sistema operativo, è esposto a queste minacce in evoluzione, specialmente mentre i cybercriminali utilizzano tecniche avanzate come l’ingegneria sociale e i falsi aggiornamenti software.”
Le analisi degli esperti di sicurezza informatica
Lo sviluppo avviene mentre messaggi non richiesti su Discord vengono utilizzati per propagare diverse famiglie di malware per il furto di informazioni, come Nova Stealer, Ageo Stealer e Hexon Stealer, con il pretesto di testare un nuovo videogioco.
“Uno degli interessi principali dei ladri di informazioni sembra essere costituito dalle credenziali di Discord, che possono essere utilizzate per espandere la rete di account compromessi,” ha affermato Malwarebytes. “Questo li aiuta anche perché alcune delle informazioni rubate includono gli account degli amici delle vittime.“
Cosa fare se ti ritrovi lo stealer su un tuo dispositivo?
Tanto per cominciare va detto fin da subito che prevenire è meglio che curare, magari inizia con non cliccare su link ingannevoli e stare molto attento a dove il link potrebbe portarti e non rispondere alle mail sospette.
Se ti viene inviato qualche file eseguibile di dubbia fattura, non scaricarlo proprio (alcuni partono semplicemente quando li metti sul tuo computer), e sì, una passata di Malwarebytes Anti malware male non fa!
