Ad agosto 2024, è emerso un nuovo malware denominato BANSHEE Stealer, sviluppato da attori di minaccia russi e progettato per colpire i sistemi macOS, sia su architettura x86_64 che ARM64. Questo malware rappresenta una minaccia significativa per gli utenti macOS, mirata a rubare informazioni critiche di sistema, dati di navigazione e portafogli di criptovalute.
Caratteristiche principali

- Prezzo Elevato: BANSHEE Stealer viene offerto come servizio a un costo di $3,000 al mese, posizionandosi tra i malware più costosi sul mercato.
- Versatilità: Il malware è in grado di colpire una vasta gamma di browser e circa 100 estensioni, rendendolo estremamente pericoloso e versatile.
Analisi tecnica
Il malware è stato analizzato approfonditamente, rivelando informazioni sui file .cpp
che costituiscono il codice sorgente. Questi includono:
- Controller.cpp: Gestisce le attività principali, comprese le misure anti-debugging e la raccolta dati.
- Browsers.cpp: Si occupa della raccolta dei dati dai browser web.
- System.cpp: Utilizza AppleScripts per raccogliere informazioni di sistema e eseguire phishing per le password.
Tecniche di evasione
BANSHEE Stealer utilizza tecniche di base per evitare il rilevamento, come il controllo del debugging tramite l’API sysctl
e la verifica della presenza di ambienti virtualizzati. Inoltre, il malware verifica la lingua predefinita del sistema, evitando di infettare sistemi con lingua principale russa.
Raccolta di Informazioni di Sistema
Il malware raccoglie varie informazioni, tra cui:
- Password dell’Utente: Viene eseguito un phishing delle password utilizzando AppleScripts, convalidando le credenziali tramite il comando
dscl
. - Informazioni di Sistema: Vengono raccolte informazioni software e hardware del sistema e salvate in un file JSON.
Raccolta dai Browser e Wallet
BANSHEE Stealer estrae dati da diversi browser come Chrome, Firefox, e Safari, nonché da portafogli di criptovalute come Exodus, Electrum, e Ledger. Tutti i dati raccolti vengono compressi, criptati e inviati a un server di comando e controllo (C2).
BANSHEE Stealer rappresenta una minaccia significativa per gli utenti macOS, come scoperto da ElasticLab, grazie alla sua capacità di raccogliere un’ampia gamma di dati sensibili. Sebbene il malware non sia eccessivamente complesso, la sua attenzione ai sistemi macOS e l’ampiezza dei dati che raccoglie lo rendono una minaccia che richiede l’attenzione della comunità di sicurezza informatica.