Le malware Banshee 2.0, un voleur d’informations ciblant macOS, échappe à la détection antivirus en utilisant un mécanisme de cryptage tiré du produit antivirus XProtect d’Apple. Cette variante s’est propagée principalement sur les marchés russes de la cybercriminalité depuis son introduction en juillet.
Le malware Banshee 2.0 utilise le cryptage d’Apple pour échapper à la détection
Le malware Banshee 2.0, au prix de 1 500 $ en tant que « voleur en tant que service », est conçu pour voler les informations d’identification de divers navigateurs, notamment Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex et Opera, ainsi que des extensions de navigateur pour les portefeuilles de crypto-monnaie comme Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum et Exodus. Il rassemble également des informations système supplémentaires, telles que les spécifications logicielles et matérielles, ainsi que le mot de passe macOS nécessaire pour déverrouiller le système.
La version initiale de Banshee était souvent détectée par un logiciel antivirus en raison de son emballage en texte clair. Cependant, une variante plus puissante est apparue le 26 septembre, utilisant le même algorithme de cryptage que l’outil antivirus Xprotect d’Apple, lui permettant d’échapper à la détection pendant près de deux mois. Recherche sur les points de contrôle trouvé que si la plupart des solutions antivirus de VirusTotal ont signalé les échantillons Banshee initiaux en texte brut, la version nouvellement chiffrée est passée inaperçue par environ 65 moteurs antivirus.
La source de la technique de chiffrement reste floue, bien que l’ingénieur inverse de Check Point, Antonis Terefos, ait émis l’hypothèse que l’auteur du malware, connu sous le nom de « 0xe1 » ou « kolosain », aurait pu procéder à une ingénierie inverse des binaires XProtect ou avoir accédé à des publications pertinentes. Ce nouveau cryptage a permis à Banshee de dissimuler efficacement ses fonctionnalités.
« Il se pourrait qu’ils aient effectué une ingénierie inverse des binaires XProtect, ou même lu des publications pertinentes, mais nous ne pouvons pas le confirmer. Une fois que le cryptage de chaîne de macOS XProtect est connu (ce qui signifie que la façon dont l’antivirus stocke les règles YARA fait l’objet d’une ingénierie inverse), les acteurs malveillants peuvent facilement « réimplémenter » le cryptage de chaîne à des fins malveillantes », Antonis Terefos, ingénieur inverse chez Check Point Research, réclamations.
Campagnes et méthodes de distribution
Depuis fin septembre, Check Point Research a suivi plus de 26 campagnes utilisant Banshee, classées en deux groupes principaux. Le premier groupe était constitué de campagnes de dépôt GitHub qui ont prospéré de la mi-octobre au début novembre, faisant la promotion de versions crackées de logiciels populaires aux côtés du malware Banshee caché sous des noms de fichiers génériques tels que « Configuration », « Installateur » et « Mise à jour ». Ces référentiels ciblaient également les utilisateurs Windows avec Lumma Stealer.
La deuxième catégorie concernait les sites de phishing sur lesquels les attaquants déguisaient Banshee 2.0 en logiciel populaire, notamment Google ChromeTradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT et Telegram. Les utilisateurs de macOS ont été invités à télécharger des liens vers la charge utile malveillante.
Le 23 novembre, le code source de Banshee a été divulgué sur le forum russe du dark web XSS, incitant son auteur à cesser ses activités. Malgré la fuite, Check Point continue d’observer les campagnes en cours distribuant Banshee via des méthodes de phishing se faisant passer pour un logiciel légitime, soulignant la menace continue du malware pour les utilisateurs de macOS.
Le succès du malware Banshee 2.0 illustre l’évolution du paysage des menaces de cybersécurité ciblant macOS, soulignant la nécessité pour les utilisateurs de rester vigilants contre les logiciels malveillants potentiels et les attaques de phishing alors qu’ils deviennent de plus en plus la cible de tactiques cybercriminelles sophistiquées.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
