BANSHEE Stealer IOCs - Part 2

Spyware IOC

Угроза для пользователей macOS растет с увеличением популярности операционной системы. Новая версия вредоносной программы Banshee Stealer, которая была раскрыта только в июле 2024 года, способна воровать учетные данные браузеров, кошельки криптовалют, а также другую чувствительную информацию. Автор вредоносной программы предлагал ее в качестве услуги на темных форумах. В октябре этого года был обнаружен новый, недетектированный вариант Banshee Stealer, использующий алгоритм шифрования строк, аналогичный тому, который применяет Apple для своего антивирусного движка XProtect в macOS.

BANSHEE Stealer

Banshee Stealer распространялся через фишинговые веб-сайты и поддельные репозитории GitHub, где вредоносные файлы маскировались под популярные программы. Он также был использован для кражи учетных данных из различных браузеров, таких как Chrome, Brave, Edge и других. Кроме того, он нацелен на расширения браузеров, особенно связанные с криптовалютными кошельками.

После вторжения в систему, вредоносная программа Банши копирует ценную информацию, такую как пароли, в специально созданные директории. А затем эта информация шифруется и отправляется на серверы команды и контроля, контролируемые атакующими. Операции распространения Банши уже вызвали реакцию антивирусных движков, их обновлениями начали определять все версии программы Банши, включая новые.

В октябре этого года было обнаружено, что вредоносные репозитории на GitHub распространяли новую версию программы Банши, нацеленную на macOS. Эти репозитории часто притворяются предлагающими различные взломанные программное обеспечение, особенно для Adobe или других решений по редактированию изображений или видео. В случае macOS на фишинговом сайте отображается фрагмент кода JavaScript, который определяет операционную систему пользователя и перенаправляет его на соответствующую страницу загрузки.

Вопреки закрытию сервиса Banshee stealer-as-a-service, угрозы продолжают распространяться путем фишинговых сайтов, маскированных под легитимное программное обеспечение. Стоит отметить, что хотя команде Check Point удалось обнаружить и изучить новую версию Banshee Stealer, угроза все еще активна и требует бдительности со стороны пользователей macOS.

Indicators of Compromise

IPv4

  • 41.216.183.49

Domains

  • authorisev.site
  • contemteny.site
  • dilemmadu.site
  • faulteyotk.site
  • forbidstow.site
  • goalyfeastz.site
  • opposezmny.site
  • seallysl.site
  • servicedny.site

URLs

  • https://steamcommunity.com/profiles/76561199724331900

SHA256

  • 00c68fb8bcb44581f15cb4f888b4dec8cd6d528cacb287dc1bdeeb34299b8c93
  • 1dcf3b607d2c9e181643dd6bf1fd85e39d3dc4f95b6992e5a435d0d900333416
  • 3bcd41e8da4cf68bb38d9ef97789ec069d393306a5d1ea5846f0c4dc0d5beaab
  • b978c70331fc81804dea11bf0b334aa324d94a2540a285ba266dd5bbfbcbc114
  • cdfbcb3d850713c49d451b3e80fb8507f86ba4ad9385e083c2a2bf8d11adc4fb
  • ce371a92e905d12cb16b5c273429ae91d6ff5485dda04bfedf002d2006856038
  • d04f71711e7749a4ff193843ae9ce852c581e55eaf29b8eec5b36c4b9c8699c2
  • d8ecc92571b3bcd935dcab9cdbeda7c2ebda3021dda013920ace35d294db07be
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий