Banxi Stealer，一个新的 macOS恶意软件，月订阅价格为3,000美元

2024年8月，俄罗斯黑客发布了一种名为BANSHEE Stealer的macOS恶意软件，能够攻击x86_64和ARM64架构。恶意软件作者声称，这种恶意软件可以从被攻击的系统中窃取广泛的数据，包括浏览器数据、加密货币钱包和约100个浏览器扩展。

BANSHEE Stealer使用基本的逃避技术，依赖于sysctl API来检测调试，检查虚拟化是否存在，并运行一个命令来查看“Virtual”是否出现在硬件模型标识符中。此外，恶意软件避免攻击使用俄罗斯语言的系统，通过CFLocaleCopyPreferredLanguages API检查用户的首选语言。然而，这些方法简单，可以被高级沙箱和恶意软件分析师绕过。

恶意软件的发现突出了macOS特有恶意软件的增长趋势，因为该平台正在成为黑客的越来越频繁的目标。

Elastic Security Labs研究员对恶意软件进行了分析，确认它可以窃取多个浏览器的键盘密码和数据。Banshee Stealer可以目标来自九个不同的浏览器，包括Chrome、Firefox、Brave、Edge、Vivaldi、Yandex、Opera、OperaGX和Safari。恶意软件可以收集cookies、登录信息和浏览记录，但从Safari中只能收集cookies。Elastic研究员注意到，关于Safari，当前版本的AppleScript脚本只能收集cookies。

“另外，来自大约100个浏览器插件的数据也可以从机器上收集。这些扩展ID的列表在博客文章的结尾处提供。”根据Elastic Security Labs发布的报告。

Banshee Stealer还可以窃取来自不同钱包的加密货币，包括Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic和Ledger。

在收集数据后，恶意软件使用ditto命令将临时文件夹压缩成ZIP文件，然后使用XOR加密、base64编码，并使用内置的curl命令将ZIP文件通过POST请求发送到指定的URL。

“BANSHEE Stealer是基于macOS的恶意软件，可以从系统、浏览器、加密货币钱包和多个浏览器插件中收集大量数据。”报告总结说。“尽管恶意软件可能具有危险的能力，但其缺乏复杂的隐蔽和debug信息的存在使得分析师更容易分解和理解。虽然BANSHEE Stealer的设计不太复杂，但其对macOS系统的关注和数据收集的广泛性使得它是一种需要 cybersecurity社区关注的严重威胁。”

原文始发于微信公众号（黑猫安全）：Banxi Stealer，一个新的 macOS恶意软件，月订阅价格为3,000美元