Descubren Malware Dirigido A Usuarios De MACOS

Investigadores de ciberseguridad descubrieron un malware que roba información de usuarios macOS, conocido como Banshee Stealer. Este malware es considerado una actualización más sigilosa de sus versiones anteriores.

Estas versiones actualizadas fueron descubiertas en septiembre de 2024, distribuyéndose a través de sitios web de phishing y repositorios falsos de GitHub. Banshee Stealer es un modelo de malware como servicio (MaaS), capaz de recopilar datos de navegadores web, archivos con extensiones específicas y billeteras de criptomonedas.

Condiciones Relevantes de Banshee Stealer

• Destaca el creciente número de muestras de malware para macOS, ya que este sistema operativo se convierte en un objetivo más atractivo para las amenazas cibernéticas.

• Tiene un precio mensual de $3,000, considerablemente alto en comparación con los ladrones basados en Windows.

• Apunta a una amplia gama de navegadores, billeteras de criptomonedas y alrededor de 100 extensiones de navegador, lo que lo convierte en una amenaza versátil y peligrosa.

Análisis de Banshee Stealer

Según los investigadores, durante el análisis del malware se detectaron símbolos de C++ que permitieron identificar el código del proyecto y conocer los nombres de archivos de código fuente. Además, encontraron valores configurados automáticamente o manualmente por el usuario durante el proceso de compilación, como:

• IP remota
• Clave de cifrado
• ID de compilación, entre otros.

Técnicas de Evasión de Banshee Stealer

• Depuración: Utiliza la API sysctl para detectar entornos de depuración.
• Máquinas Virtuales: Detecta entornos virtuales mediante el comando system_profiler SPHardwareDataType | grep 'Model Identifier' para identificar si se ejecuta en una máquina virtual.
• Idioma: Analiza el idioma preferido del sistema usando CFLocaleCopyPreferredLanguages para evitar infectar sistemas en los que el ruso (ru) sea el idioma principal.

Forma de Actuar del Banshee Stealer

Robo de Contraseñas de Usuario

Durante la ejecución, el malware:

1. Crea una solicitud de contraseña mediante Osascript, mostrando un cuadro de diálogo que dice:
   “Para iniciar la aplicación, debe actualizar la configuración del sistema. Ingrese su contraseña.”
2. Si el usuario ingresa la contraseña, se valida con dscl Local/Default -authonly <username> <password>.
3. Si es válida, la contraseña se guarda en /Users/<username>/password-entered.
4. Estas credenciales permiten descifrar datos del llavero, obteniendo acceso a todas las contraseñas guardadas.

Recopilación de Información

El malware utiliza la función System::collectSystemInfo para:

• Recopilar información del sistema en un archivo JSON.
• Ejecutar el comando system_profiler SPSoftwareDataType SPHardwareDataType para obtener datos de software y hardware.
• Obtener la IP pública de la máquina usando freeipapi.com a través de cURL.
• Guardar la información en <temporary_path>/system_info.json.
• Ejecutar AppleScripts en /tmp/tempAppleScript para:
  • Silenciar el sonido del sistema (osascript -e 'set volume with output muted').
  • Recopilar archivos con extensiones .txt, .docx, .rtf, .doc, .wallet, .keys, .key de las carpetas Escritorio y Documentos.
  • Obtener cookies de Safari y la base de datos de notas.

Volcado de Contraseñas del Llavero

• Copia el llavero del sistema desde:
  /Library/Keychains/login.keychain-db a <temporary_path>/Passwords.

Navegadores Afectados

Banshee Stealer captura datos de 9 navegadores:

• Chrome, Firefox, Brave, Edge, Vivaldi, Yandex, Opera, OperaGX, entre otros.
• Los datos recopilados se almacenan en <temporary_path>/Browsers.

Exfiltración de Datos

Una vez recopilada la información, el malware:

1. Comprime los datos en formato ZIP usando el comando ditto.
2. Cifra el archivo ZIP con XOR y lo codifica en base 64.
3. Envía los datos a http://45.142.122[.]92/send/ usando cURL.

Opiniones de Expertos en Ciberseguridad

• Elastic (Investigadores de Ciberseguridad):
  “A pesar de sus capacidades peligrosas, la falta de ofuscación sofisticada y la presencia de información de depuración hacen que sea más fácil analizarlo. Sin embargo, presenta un grave riesgo para los usuarios de macOS.”

• Ngoc Bui (Menlo Security):
  “Esta nueva variante de Banshee Stealer expone una brecha crítica en la seguridad de Mac. Las herramientas de seguridad no han seguido el ritmo del crecimiento de los ecosistemas de Apple.”

• James Scobey (Keeper Security):
  “Banshee Stealer es un claro indicador de las amenazas en evolución que apuntan a sistemas macOS, tradicionalmente considerados más seguros. Las empresas ya no pueden confiar en suposiciones heredadas sobre la seguridad de la plataforma.”

• Eric Schwake (Salt Security):
  “Este incidente enfatiza la importancia de adoptar medidas de seguridad sólidas en todos los dispositivos, independientemente de sus sistemas operativos. La educación del personal, la actualización del software y la implementación de políticas estrictas de seguridad son clave para mitigar amenazas como Banshee Stealer.”