Sicherheitsforscher haben eine neue Variante der auf macOS ausgerichteten Schadsoftware namens Banshee Stealer entdeckt.
Sicherheitsforscher von Check Point Research (CPR) verfolgen bereits seit September letztes Jahres eine neue Version des Banshee macOS Stealers. Sie weisen darauf hin, dass die Malware u.a. in der Lage ist, Browseranmeldeinformationen, Kryptowährungs-Wallets und andere sensible Daten zu stehlen. Verbreitung findet die Malware über Phishing-Websites und gefälschte GitHub-Repositories, wobei sie sich häufig als beliebte Software wie Chrome, Telegram und TradingView ausgab.
Cyberkriminelle betrieben Banshee Stealer als „Stealer-as-a-Service“. Sie bewarben die Malware über Telegram und Foren wie XSS und Exploit zu einem Preis von 3.000 US-Dollar pro Monat. Am 23. November 2024 wurde der Quellcode der Malware geleakt, woraufhin die vermutlich aus Russland stammenden Entwickler den Betrieb am folgenden Tag beendeten. Trotz Einstellung verbreiten Bedrohungsakteure allerdings die neue Version von Banshee weiterhin über Phishing-Websites.
macOS-User zunehmend im Fokus von Cyberkriminellen
Im Jahr 2024 nutzten etwa 100,4 Millionen Menschen weltweit macOS, was einem PC-Marktanteil von 15,1 % entspricht. Check Point Research weist darauf hin, dass viele macOS-Nutzer fälschlicherweise glauben, dass ihre Geräte automatisch vor Malware geschützt seien. Diese Annahme basiere einerseits auf der Unix-Architektur von macOS und andererseits auf dem vergleichsweise geringen Marktanteil, was das System für Cyberkriminelle weniger attraktiv macht.
Die Sicherheitsforscher von Check Point Research (CPR) warnen, obwohl macOS mit Sicherheitsfunktionen wie Gatekeeper, XProtect und Sandboxing ausgestattet ist, schützt keine Software zu 100 % vor Bedrohungen. Das Sicherheitsgefühl der User kann daher trügerisch sein. Mit der wachsenden Verbreitung von macOS steigt aktuell auch die Zahl der Angriffe.
Banshee Stealer Variante entgeht Entdeckung durch Antiviren-Programme
Die neueste Banshee Stealer Variante blieb über zwei Monate unentdeckt. Diese aktualisierte Version führte eine String-Verschlüsselung ein, wobei der Banshee-Entwickler den String-Verschlüsselungsalgorithmus von der Apples MacOS XProtect Antiviren-Engine übernnommen hat. Dies führte gemäß den Sicherheitsforschern dazu, dass Antiviren-Erkennungssysteme die Malware übersahen:
„Diese versteckte Malware dringt nicht einfach ein, sondern agiert unentdeckt, fügt sich nahtlos in normale Systemprozesse ein und stiehlt dabei Browseranmeldeinformationen, Kryptowährungs-Wallets, Benutzerkennwörter und vertrauliche Dateidaten. Was Banshee wirklich beunruhigend macht, ist seine Fähigkeit, der Entdeckung zu entgehen. Selbst erfahrene IT-Experten haben Schwierigkeiten, seine Präsenz zu erkennen. Banshee Stealer ist nicht einfach nur ein weiteres Stück Malware – es ist eine wichtige Warnung für Benutzer, ihre Sicherheitsannahmen zu überdenken und proaktive Maßnahmen zum Schutz ihrer Daten zu ergreifen.“
Funktionsweise von Banshee Stealer
Laut Check Point Research zeigt Banshee Stealer „die Raffinesse moderner Malware“. Nach der Installation:
- Stiehlt Systemdaten: Zielt auf Browser wie Chrome, Brave, Edge und Vivaldi sowie auf Browsererweiterungen für Kryptowährungs-Wallets ab. Außerdem nutzt er eine Erweiterung zur Zwei-Faktor-Authentifizierung (2FA), um vertrauliche Anmeldeinformationen abzufangen. Darüber hinaus sammelt er Software- und Hardwaredetails, externe IP-Adressen und macOS-Passwörter.
- Täuscht Benutzer: Verwendet überzeugende Popups, die wie legitime Systemaufforderungen aussehen, um Benutzer dazu zu verleiten, ihre macOS-Passwörter einzugeben.
- Umgeht die Erkennung: Setzt Anti-Analysetechniken ein, um Debugging-Tools und Antiviren-Engines zu umgehen.
- Datenexfiltration: Sendet gestohlene Informationen über verschlüsselte und kodierte Dateien an Befehls- und Kontrollserver
Gegenmaßnahmen
Check Point Research weist auf besondere Sicherheitsmaßnahmen hin, um die Risiken von Bedrohungen wie Banshee Stealer zu mindern:
„Betriebssysteme und Anwendungen müssen mit zeitnahen Patches aktualisiert werden. Einzelpersonen sollten beim Umgang mit unerwarteten E-Mails oder Nachrichten mit Links, insbesondere von unbekannten Absendern, vorsichtig sein. Die Sensibilisierung der Mitarbeiter für die Cybersicherheit ist ebenfalls von entscheidender Bedeutung, da dies die Wachsamkeit der Belegschaft fördert. Schließlich können Sicherheitsspezialisten bei Unklarheiten wertvolles Fachwissen und Orientierungshilfe bei der Bewältigung potenzieller Sicherheitsprobleme bieten.“
Der Banshee Stealer zeigt die wachsenden Gefahren für macOS-Nutzer und macht den Einsatz fortschrittlicher Cybersicherheitslösungen sowie mehr Wachsamkeit notwendig.
