Pencuri info MacOS “Banshee” terlihat meluncur oleh program antivirus menggunakan algoritma enkripsi string yang dicurinya dari Apple.
Banshee telah menyebar sejak bulan Juli, terutama melalui pasar kejahatan dunia maya Rusia, yang menjualnya sebagai “stealer-as-a-service” seharga $1.500 untuk Mac. Ini dirancang untuk mencuri kredensial dari browser — Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex, dan Opera — dan ekstensi browser yang terkait dengan dompet mata uang kripto — Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum, dan Exodus. Selain itu, ini memberikan informasi tambahan tentang sistem yang ditargetkan, termasuk spesifikasi perangkat lunak dan perangkat keras, serta kata sandi yang diperlukan untuk membuka kunci sistem.
Alat ini jauh dari sempurna, karena dapat dideteksi secara luas oleh program antivirus, karena alat ini dikemas seluruhnya dalam bentuk teks biasa. Namun pada 26 September, peneliti dari Check Point mengamati varian yang lebih kuat. Varian yang lebih sukses ini tetap tidak terdeteksi selama berbulan-bulan, terutama karena varian tersebut dienkripsi algoritma yang sama yang digunakan oleh Xprotect Apple alat antivirus untuk macOS.
Malware Banshee Mencuri Dari XProtect
XProtect adalah mesin anti-malware Apple yang berusia satu setengah dekade untuk macOS. Untuk mendeteksi dan memblokir malware, ia menggunakan biner “Remediator”, yang menggabungkan berbagai metode dan alat untuk antivirus, termasuk aturan YARA, yang berisi pola dan tanda tangan yang terkait dengan ancaman yang diketahui.
Check Point menemukan bahwa algoritma enkripsi yang sama yang melindungi aturan YARA XProtect juga menyembunyikan varian Banshee bulan September.
Tidak jelas bagaimana pembuat malware – nom de guerre “0xe1” atau “kolosain” – memperoleh akses ke algoritma tersebut.
“Bisa jadi mereka melakukan rekayasa balik biner XProtect, atau bahkan membaca publikasi yang relevan, namun kami tidak dapat memastikannya,” Antonis Terefos, insinyur balik di Check Point Research, berspekulasi. “Setelah enkripsi string macOS XProtect diketahui — artinya cara antivirus menyimpan aturan YARA direkayasa ulang — pelaku ancaman dapat dengan mudah 'menerapkan ulang' enkripsi string untuk tujuan jahat,” katanya.
Bagaimanapun, pengaruhnya sangat signifikan. “Mayoritas solusi antivirus di VirusTotal mendeteksi sampel awal Banshee menggunakan teks biasa, namun setelah pengembang memperkenalkan algoritme enkripsi string baru ini, tidak satu pun dari sekitar 65 mesin antivirus di VirusTotal yang mendeteksinya,” katanya.
Hal itu tetap terjadi selama sekitar dua bulan. Kemudian, pada tanggal 23 November, kode sumber Banshee bocor di forum kejahatan dunia maya berbahasa Rusia “XSS.” 0xe1 menutup operasi malware-as-a-service (MaaS), dan vendor antivirus memasukkan aturan YARA terkait pada waktunya. Namun bahkan setelah titik tersebut, Terefos melaporkan, Banshee terenkripsi tetap tidak terdeteksi oleh sebagian besar mesin di VirusTotal.
Bagaimana Pencuri Banshee Menyebar dalam Serangan Siber
Sejak akhir September, Check Point telah mengidentifikasi lebih dari 26 kampanye yang menyebarkan Banshee. Secara garis besar, mereka dapat dikelompokkan menjadi dua cluster.
Dalam tiga gelombang kampanye yang berlangsung dari pertengahan Oktober hingga awal November, pelaku ancaman menyebarkan infostealer melalui repositori GitHub. Repositori tersebut menjanjikan pengguna versi crack dari perangkat lunak populer, seperti program Adobe dan berbagai alat pengeditan gambar dan video. Malware tersebut tersembunyi di balik nama file umum seperti “Setup”, “Installer”, dan “Update”. Kelompok aktivitas yang sama juga menargetkan pengguna Windows dengan Lumma Stealer yang populer.
Kampanye lainnya menyebarkan Banshee melalui situs phishing, dalam satu atau lain bentuk. Dalam kasus ini, penyerang menyamarkan malware tersebut sebagai berbagai program perangkat lunak populer, termasuk Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT, dan Telegram. Jika pengunjung menggunakan macOS, mereka akan mendapatkan link download.
Terlebih lagi, berbagai kampanye mungkin sedang dilakukan, karena Banshee telah bocor. Oleh karena itu, Terefos mengatakan, “Meskipun macOS secara tradisional dianggap lebih aman, keberhasilan Banshee menunjukkan pentingnya bagi pengguna macOS untuk tetap waspada dan sadar akan hal ini. ancaman.”
