يستهدف برنامج Banshee Stealer الجديد أكثر من 100 امتداد للمتصفح على أنظمة Apple macOS

16 أغسطس 2024رافي لاكشمانانالبرامج الضارة / أمن المتصفح

اكتشف باحثو الأمن السيبراني برامج ضارة جديدة للسرقة مصممة لاستهداف أنظمة Apple macOS على وجه التحديد.

يُطلق عليها اسم Banshee Stealer، وهي معروضة للبيع في عالم الجرائم الإلكترونية تحت الأرض بسعر باهظ يبلغ 3000 دولار شهريًا وتعمل عبر معماريتي x86_64 وARM64.

“يستهدف Banshee Stealer مجموعة واسعة من المتصفحات ومحافظ العملات المشفرة وحوالي 100 امتداد للمتصفح، مما يجعله تهديدًا خطيرًا ومتنوعًا للغاية،” Elastic Security Labs قال في تقرير الخميس

تشتمل متصفحات الويب ومحافظ العملات المشفرة التي تستهدفها البرامج الضارة على Google Chrome وMozilla Firefox وBrave وMicrosoft Edge وVivaldi وYandex وOpera وOperaGX وExodus وElectrum وCoinomi وGuarda وWasabi Wallet وAtomic وLedger.

كما أنه مجهز لجمع معلومات النظام وبياناته من كلمات مرور وملاحظات iCloud Keychain، بالإضافة إلى دمج عدد كبير من إجراءات مكافحة التحليل ومكافحة تصحيح الأخطاء لتحديد ما إذا كان يعمل في بيئة افتراضية في محاولة لتجنب الاكتشاف.

علاوة على ذلك، فإنه يستخدم CFLocaleCopyPreferredLanguages API لتجنب إصابة الأنظمة التي تكون فيها اللغة الروسية هي اللغة الأساسية.

مثل سلالات البرامج الضارة الأخرى لنظام التشغيل MacOS مثل الوقواق وMacStealer، يستفيد Banshee Stealer أيضًا من osascript لعرض مطالبة بكلمة مرور مزيفة لخداع المستخدمين لإدخال كلمات مرور النظام الخاصة بهم لتصعيد الامتيازات.

من بين الميزات البارزة الأخرى القدرة على جمع البيانات من ملفات مختلفة تطابق امتدادات .txt و.docx و.rtf و.doc و.wallet و.keys و.key من مجلدات سطح المكتب والمستندات. يتم بعد ذلك تصفية البيانات المجمعة بتنسيق أرشيف ZIP إلى خادم بعيد (“45.142.122[.]92/إرسال/”).

وقالت Elastic: “نظرًا لأن نظام التشغيل macOS أصبح على نحو متزايد هدفًا رئيسيًا لمجرمي الإنترنت، فإن Banshee Stealer يؤكد على الاهتمام المتزايد بالبرامج الضارة الخاصة بنظام التشغيل macOS”.

ويأتي الكشف باسم Hunt.io وKandji مفصل سلالة سرقة أخرى لنظام التشغيل macOS تستفيد من SwiftUI وواجهات برمجة التطبيقات Open Directory من Apple لالتقاط كلمات المرور التي أدخلها المستخدم والتحقق منها في مطالبة زائفة يتم عرضها لإكمال عملية التثبيت.

“يبدأ الأمر بتشغيل قطارة تعتمد على Swift والتي تعرض مطالبة بكلمة مرور مزيفة لخداع المستخدمين،” شركة Symantec المملوكة لشركة Broadcom قال. “بعد التقاط بيانات الاعتماد، تتحقق البرامج الضارة منها باستخدام واجهة برمجة تطبيقات OpenDirectory ثم تقوم بعد ذلك بتنزيلها وتنفيذها البرامج النصية الضارة من خادم القيادة والسيطرة.”

يتبع هذا التطور أيضًا استمرار الظهور من أدوات السرقة الجديدة المستندة إلى Windows مثل سارق اللهب، حتى مواقع وهمية يتنكر في هيئة أداة الذكاء الاصطناعي لتحويل النص إلى فيديو (AI) الخاصة بـ OpenAI، سورا، يتم استخدامها لنشر Braodo Stealer.

بشكل منفصل، يجري المستخدمين الإسرائيليين مستهدفة مع رسائل البريد الإلكتروني التصيدية التي تحتوي على مرفقات أرشيف RAR التي تنتحل شخصية Calcalist وMako لتسليم Rhadamanthys Stealer.