Systém macOS sice obsahuje robustní bezpečnostní funkce, jako jsou Gatekeeper, XProtect a sandboxing, ale tím, že systém už používá více než 100 milionů uživatelů po celém světě, stává se atraktivnějším cílem pro kyberzločince. Názorně to ilustruje malware Banshee Stealer, který se umí vyhnout detekci, krade přihlašovací údaje a citlivá data.
„Tento nenápadný malware se infiltruje do zařízení a nepozorovaně splyne s běžnými systémovými procesy. Přitom krade přihlašovací údaje, informace o softwaru i hardwaru, kryptopeněženky a citlivá data,“ sdělil Petr Kadrmas, expert z kyberbezpečnostní společnosti Check Point Software Technologies.
Podle antivirové společnosti Kaspersky je Banshee plnohodnotný infostealer. „Jde o typ malwaru, který vyhledává na infikovaném zařízení (Mac) cenná data a posílá je zločincům, kteří za ním stojí. Banshee se primárně zaměřuje na krádež dat souvisejících s kryptoměnou a blockchainem“ vysvětluje na svých stránkách Kaspersky.
Společnost připomněla, že zdaleka nejde o první malware, který útočil na uživatele platformy macOS. V minulosti šlo např. o „trojan“, který se maskoval jako pirátské verze oblíbených aplikací pro macOS, ale jeho cílem bylo ukrást kryptopeněženky. Další trojský kůň kradoucí kryptoměny se maskoval jako dokument PDF s názvem „Kryptoaktiva a jejich rizika pro finanční stabilitu“.
Kde se vzal nový malware? Banshee Stealer se objevil v polovině minulého roku a na undergroundových fórech, jako jsou XSS a Exploit, byl nabízen za 3 000 dolarů. A také na Telegramu, jako „stealer jako služba“. Loni koncem září identifikovala společnost Check Point novou verzi malwaru. Její vývojáři ukradli a použili šifrovací algoritmus z antivirového enginu XProtect od Applu.
To podle kyberbezpečnostních expertů pravděpodobně umožnilo, aby se Banshee Stealer více než dva měsíce vyhýbal detekci antivirovými enginy. Během této doby jej hackeři šířili prostřednictvím phishingových stránek, škodlivých repozitářů GitHub a maskovali jej za populární softwarové nástroje, jako jsou Chrome, Telegram a TradingView.
Co přesně dělá zloděj Banshee v počítačích, vysvětlili odborníci ze společnosti Kaspersky. Předně sbírá systémové informace a krade heslo macOS. Krade přihlašovací údaje a hesla uložená v různých prohlížečích: Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex Browser a Opera. Krade rovněž informace uložené rozšířeními prohlížeče, většina z nich souvisí s kryptopeněženkami.
Kromě toho vyhledává a extrahuje data z aplikací kryptoměnových peněženek, včetně Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic a Ledger a krade tokeny 2FA uložené v rozšíření prohlížeče Authenticator.cc. „Banshee všechna tato data úhledně zkompiluje do archivu ZIP, zašifruje je jednoduchou šifrou XOR a odešle je na server pro příkazy a řízení útočníků,“ píše Kaspersky.
„Uživatel si podvodu vůbec nemusí všimnout,“ upozornil Petr Kadrmas: „Dokonce i zkušení IT profesionálové mají problém odhalit jeho přítomnost.“ „Banshee Stealer využívá například i různá vyskakovací okna, která mají vypadat jako legitimní systémové výzvy, takže uživatel zadá přihlašovací údaje. Malware pak vše odesílá na řídicí servery v podobě zašifrovaných souborů,“ dodal Kadrmas.
Banshee Stealer není podle jeho názoru jen dalším malwarem, je to důrazné varování pro uživatele, aby přehodnotili své bezpečnostní předpoklady a přijali proaktivní opatření k ochraně svých dat. Významný obrat přišel v listopadu 2024, kdy zdrojový kód malwaru Banshee unikl na undergroundovém fóru XSS a malware byl stažen z prodeje. Kdo za útoky stojí, není zatím jasné.
