Banshee stealer evades detection using Apple XProtect encryption algo

macOS向けの情報窃取マルウェア「Banshee」の新バージョンは、アップルのXProtectの文字列暗号化を採用することで、過去2ヶ月間にわたり検知を逃れてきた。

BansheeはmacOSシステムに特化した情報窃取マルウェアである。Bansheeは2024年半ばに、サイバー犯罪者が3,000ドルで利用できる窃盗サービス(stealer-as-a-service)として登場した。

そのソースコードは2024年11月にXSSフォーラムに流出し、プロジェクトは公開を停止し、他のマルウェア開発者がそれを改良する機会を作ることになりました。

新たな亜種の1つを発見したチェック・ポイント・リサーチ社によると、Bansheeに存在する暗号化手法により、感染したホストから機密情報を収集しながら、通常の操作に紛れ込み、合法的に見せかけることができるという。

もう1つの変更点は、ロシアのユーザーのシステムを回避しなくなったことです。

Current Banshee stealer campaign clusters
現在の Banshee 盗難キャンペーン・クラスター
情報源:チェック・ポイント

XProtectによる暗号化

AppleのXProtectは、macOSに組み込まれたマルウェア検出技術です。アンチウイルスのシグネチャに似た一連のルールを使用して、既知のマルウェアを特定し、ブロックする。

Banshee Stealerの最新バージョンは、XProtect自体がデータを保護するために使用する文字列暗号化アルゴリズムを採用している。

文字列をスクランブル化し、実行中にのみ復号化することで、Bansheeは標準的な静的検知手法を回避することができる。

また、macOSやサードパーティのマルウェア対策ツールが、この特殊な暗号化技術をあまり疑わずに扱うことで、Bansheeが長期間にわたって検知されずに動作できるようにしている可能性もあります。

機密データの窃盗

最新のBansheeステラーの亜種は、主にGitHubの欺瞞的なリポジトリを通じて、ソフトウェアになりすましてmacOSユーザーをターゲットに配布されています。同じ運営者はWindowsユーザーもターゲットにしていますが、Lumma Stealerを使用しています。

Malware-distributing page hosted on GitHub
GitHubでホストされているマルウェア配布ページ
Source:チェック・ポイント

チェック・ポイントによると、Banshee malware-as-a-serviceの運用は11月以降停止したままですが、ソースコードが流出して以来、複数のフィッシング・キャンペーンがマルウェアの配布を継続しています。

このマルウェアは、一般的なブラウザ(Chrome、Brave、Edge、Vivaldiなど)に保存されているデータ(パスワード、2要素認証拡張機能、暗号通貨ウォレット拡張機能など)を狙います。

また、ホストに関する基本的なシステムやネットワーク情報を収集し、被害者に偽のログインプロンプトを表示してmacOSのパスワードを盗み出す。