malware

Los investigadores de ciberseguridad han descubierto un nuevo malware ladrón diseñado específicamente para atacar los sistemas macOS de Apple.

Conocido como Banshee Stealer, se ofrece a la venta en el mundo del cibercrimen por un elevado precio de 3.000 dólares al mes y funciona en arquitecturas x86_64 y ARM64.

«Banshee Stealer ataca a una amplia gama de navegadores, billeteras de criptomonedas y alrededor de 100 extensiones de navegador, lo que lo convierte en una amenaza muy versátil y peligrosa», dijo Elastic Security Labs en un informe del jueves.

Los navegadores web y las billeteras de criptomonedas atacadas por el malware incluyen Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic y Ledger.

También está equipado para recopilar información del sistema y datos de las contraseñas y notas de iCloud Keychain, así como incorporar una serie de medidas anti-análisis y anti-depuración para determinar si se está ejecutando en un entorno virtual en un intento de evadir la detección.

Además, utiliza la API CFLocaleCopyPreferredLanguages ​​para evitar infectar sistemas donde el ruso es el idioma principal.

Al igual que otras cepas de malware de macOS como Cuckoo y MacStealer , Banshee Stealer también aprovecha osascript para mostrar un mensaje de contraseña falso para engañar a los usuarios para que ingresen sus contraseñas del sistema para la escalada de privilegios.

Entre otras características destacables se incluye la capacidad de recopilar datos de varios archivos con extensiones .txt, .docx, .rtf, .doc, .wallet, .keys y .key de las carpetas Escritorio y Documentos. Los datos recopilados se exfiltran luego en un formato de archivo ZIP a un servidor remoto («45.142.122[.]92/send/»).

«A medida que macOS se convierte cada vez más en un objetivo principal para los ciberdelincuentes, Banshee Stealer subraya la creciente vigilancia del malware específico para macOS», afirmó Elastic.

La revelación se produce cuando Hunt.io y Kandji detallaron otra cepa de ladrón de macOS que aprovecha SwiftUI y las API de Open Directory de Apple para capturar y verificar las contraseñas ingresadas por el usuario en un mensaje falso que se muestra para completar el proceso de instalación.

«Comienza ejecutando un programa de instalación basado en Swift que muestra una solicitud de contraseña falsa para engañar a los usuarios», dijo Symantec, propiedad de Broadcom . «Después de capturar las credenciales, el malware las verifica utilizando la API OpenDirectory y posteriormente descarga y ejecuta scripts maliciosos desde un servidor de comando y control».

Este desarrollo también sigue a la continua aparición de nuevos ladrones basados ​​en Windows como Flame Stealer , mientras que sitios falsos que se hacen pasar por la herramienta de inteligencia artificial (IA) de texto a video de OpenAI, Sora , se están utilizando para propagar Braodo Stealer .

Por otra parte, los usuarios israelíes están siendo objeto de correos electrónicos de phishing que contienen archivos adjuntos en formato RAR que se hacen pasar por Calcalist y Mako para entregar Rhadamanthys Stealer.

Fuente y redacción: thehackernews.com

Compartir