研究人员分析了 Banshee macOS Stealer样本的新版本，该样本最初避开了大多数反病毒引擎的检测。

分析显示，该恶意软件采用了一种独特的字符串加密技术，与Apple XProtect防病毒引擎用于加密二进制文件中YARA规则的加密方法相同。通过利用这种共享加密算法，Banshee可以混淆关键字符串，从而阻碍安全解决方案的即时检测。

Check Point 研究人员补充道：“随着macOS的持续普及，全球用户超过1亿，它正逐渐成为网络犯罪分子越来越青睐的目标。”

已解压Banshee MacOS Stealer检测。

Banshee是一种窃取恶意软件，通过使用反分析技术（例如分叉和进程创建）来避免检测，目标是用户凭证、浏览器数据和加密钱包。

从包括Chrome 、Brave 、Edge 、Vivaldi 、Yandex 和Opera在内的各种浏览器和浏览器扩展中窃取信息，同时也针对特定的加密钱包扩展程序。

被窃取的数据经过压缩后，使用活动ID进行XOR加密，然后进行base64编码，最后被传输到命令和控制服务器。

C&C服务器经历了多次迭代，从基于Django的服务器（具有单独的管理面板），到用于机器人通信的单一FastAPI端点。目前，托管管理面板的服务器隐藏在Relay服务器后面，以增加隐蔽性。

C＆C解密。

Check Point Research发现了针对macOS用户的Banshee Stealer新版本，该版本通过多个假装提供破解软件的网络钓鱼存储库进行分发。

这些储存库在恶意软件推送前几周创建，恶意软件窃取数据并将其发送到C&C服务器。最新的活动使用钓鱼网站针对macOS用户，并伪装成Telegram下载传播恶意软件。

存储库发布。

一名名为@kolosain的威胁行为者最初在Telegram上以2999美元的价格出售Banshee macOS 窃取程序。随后，他们在XSS和Exploit论坛上以每月1500美元的价格提供该服务。甚至还招募了有限数量的熟练会员，组成了私人团体，并提供利润分享模式。

在原始源代码泄露后，@kolosain试图在关闭服务前出售整个项目。泄密事件导致防病毒软件的检测率上升，但也增加了其他行为者开发分支和新变种的可能性。

Banshee特卖帖

Banshee macOS Stealer最新代码更新涉及字符串加密，成功避开防病毒软件的检测长达两个多月的时间。

以前专注于Windows的恶意行为者现在正积极针对macOS，利用GitHub等平台分发DMG文件和不受保护的档案。

这强调了需要能够适应不断演变的威胁的强大安全解决方案，包括主动威胁情报以及操作系统和应用程序的及时更新。

用户必须保持警惕，谨慎对待意外通信，并优先进行网络安全意识培训，以减轻与这些威胁相关的风险。

参考链接：

https://cybersecuritynews.com/banshee-malware-targets-macos/