新的 Banshee Stealer 变种利用 Apple XProtect 加密技术绕过防病毒软件

网络安全研究人员发现了一种针对 macOS 的信息窃取恶意软件的新型、更隐蔽的版本，名为Banshee Stealer。

Check Point Research 在一份新分析报告中表示： “在 2024 年底源代码泄露后，人们一度认为该版本已经停产，但新版本引入了受 Apple XProtect 启发的高级字符串加密技术。这一技术使其能够绕过防病毒系统，对全球超过 1 亿 macOS 用户构成重大风险。”

该网络安全公司表示，它于 2024 年 9 月下旬检测到了新版本，该恶意软件以 Google Chrome、Telegram 和 TradingView 等流行软件为幌子，使用钓鱼网站和虚假的 GitHub 存储库进行分发。

Banshee Stealer于 2024 年 8 月首次由 Elastic Security Labs 记录。它以恶意软件即服务 (MaaS) 模式向其他网络犯罪分子提供，每月收费 3,000 美元，能够从网络浏览器、加密货币钱包和与特定扩展名匹配的文件中收集数据。

2024 年 11 月下旬，恶意软件的源代码在网上泄露，导致其运营受挫，被迫停止运营。然而，Check Point 表示，已发现多个活动仍在通过钓鱼网站传播恶意软件，尽管目前尚不清楚这些活动是否由以前的客户执行。

新变种的一大亮点是删除了俄语检查，该检查用于防止将俄语设置为默认系统语言的 Mac 受到感染。删除该功能暗示攻击者可能正在寻求更广泛的潜在目标。

另一个重要更新是使用 Apple 的 XProtect 防病毒引擎的字符串加密算法来混淆 Banshee Stealer 原始版本中使用的纯文本字符串。

Check Point Research 安全研究人员表示：“现代恶意软件活动正在利用常见的人类弱点，而不仅仅是特定于平台的漏洞。”“与任何其他操作系统一样，MacOS 也面临这些不断演变的威胁，尤其是当网络犯罪分子采用社会工程和虚假软件更新等先进技术时。”

这一发展是由于 Discord 上的未经请求的消息被用来以测试新视频游戏为借口传播各种窃取恶意软件家族，例如 Nova Stealer、Ageo Stealer 和 Hexon Stealer。

Malwarebytes表示： “攻击者的主要兴趣之一似乎是 Discord 凭证，它可以用来扩大被盗账户网络。” “这也对他们有帮助，因为一些被盗信息包括受害者朋友的账户。”

技术报告：

https://blog.checkpoint.com/research/cracking-the-code-how-banshee-stealer-targets-macos-users/

https://research.checkpoint.com/2025/banshee-macos-stealer-that-stole-code-from-macos-xprotect/

新闻链接：

https://thehackernews.com/2025/01/new-banshee-stealer-variant-bypasses.html

讲述普通人能听懂的安全故事