นักวิจัยของ Check Point เผยแพร่รายงานการค้นพบมัลแวร์ Banshee Stealer เวอร์ชันใหม่สำหรับ macOS ในช่วง 2 เดือนที่ผ่านมา ที่สามารถหลีกเลี่ยงการตรวจจับได้โดยใช้การเข้ารหัส XProtect ของ Apple
Banshee เป็น information stealer ที่ใช้โจมตีระบบ macOS โดยเปิดตัวในช่วงกลางปี 2024 ในรูปแบบ stealer-as-a-service โดยให้บริการแก่ Hacker ในราคา 3,000 ดอลลาร์ ซึ่งต่อมา source code ของ Banshee ได้ถูกปล่อยออกมาบน XSS forums ในเดือนพฤศจิกายน 2024 ส่งผลให้โปรเจ็กต์ปิดตัวลง และเปิดโอกาสให้กับนักพัฒนามัลแวร์รายอื่นได้นำมาพัฒนาต่อไป
ตามรายงานการวิจัยของ Check Point ซึ่งค้นพบมัลแวร์ใหม่ชนิดหนึ่ง ซึ่งใช้วิธีการเข้ารหัสที่มีอยู่ใน Banshee ทำให้มัลแวร์สามารถผสานเข้ากับการทำงานปกติ และดูเหมือนว่าเป็นการใช้งานปกติ ขณะที่มัลแวร์กำลังรวบรวมข้อมูลที่มีความสำคัญจากโฮสต์ที่ถูกโจมตี รวมถึงการเปลี่ยนแปลงอีกประการหนึ่งคือจะไม่หลีกเลี่ยงการโจมตีระบบที่เป็นของผู้ใช้รัสเซียอีกต่อไป
การเข้ารหัส XProtect
XProtect ของ Apple เป็นเทคโนโลยีตรวจจับมัลแวร์ที่ติดตั้งมาใน macOS โดยใช้ set of rules ที่คล้ายกับ antivirus signatures เพื่อระบุ และบล็อกมัลแวร์ที่เป็นที่รู้จัก
โดย Banshee Stealer เวอร์ชันล่าสุดใช้อัลกอริธึมการเข้ารหัสสตริงที่ XProtect ใช้เพื่อปกป้องข้อมูลของมันเอง
การขโมยข้อมูลที่มีความสำคัญ
เวอร์ชันล่าสุดของ Banshee Stealer ได้ถูกเผยแพร่ผ่าน GitHub repositories ที่กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ macOS ผ่านการแอบอ้างเป็นซอฟต์แวร์อื่น ทั้งนี้กลุ่ม Hacker ดังกล่าวยังได้กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Windows ด้วย แต่ใช้ Lumma Stealer แทน
Check Point รายงานว่าแม้ Banshee malware-as-a-service จะไม่พบการทำงานมาตั้งแต่เดือนพฤศจิกายน 2024 แต่ยังพบว่า phishing campaign หลายกลุ่มยังคงแพร่กระจายมัลแวร์ต่อไปนับตั้งแต่ที่ source code รั่วไหล
infostealer ได้กำหนดเป้าหมายการโจมตีไปที่ข้อมูลที่จัดเก็บไว้ในเบราว์เซอร์ยอดนิยม (เช่น Chrome, Brave, Edge และ Vivaldi) รวมถึง passwords, two-factor authentication extensions และ cryptocurrency wallet extensions
นอกจากนี้ยังรวบรวมข้อมูลระบบ และเครือข่ายพื้นฐานเกี่ยวกับโฮสต์ และหลอกล่อให้เหยื่อเข้าสู่ระบบเพื่อขโมยรหัสผ่านบน macOS อีกด้วย
ที่มา : bleepingcomputer