Новый похититель информации Banshee угрожает владельцам криптокошельков на macOS

Вредоносная программа способна незаметно проникать в систему, собирать конфиденциальную информацию и передавать её злоумышленникам. Главная цель Banshee - цифровые активы, связанные с криптовалютами. Это делает его особенно опасным для тех, кто работает с Web3, занимается трейдингом или использует цифровые кошельки.

После заражения программа действует методично и агрессивно. Она собирает информацию о системе, а затем пытается получить пароль учётной записи macOS. Для этого Banshee показывает поддельное окно аутентификации, которое практически неотличимо от настоящего системного диалога. Таким образом пользователь сам вводит свой пароль, передавая его злоумышленникам.

Далее вредоносное ПО извлекает сохранённые учётные данные из популярных браузеров: Google Chrome, Brave, Microsoft Edge, Opera и других. Особое внимание уделяется браузерным расширениям. Программа атакует более пятидесяти дополнений, большинство из которых связано с криптокошельками: MetaMask, Trust Wallet, Coinbase Wallet и другими. Кроме того, Banshee крадёт токены двухфакторной аутентификации (2FA), в частности из расширения Authenticator.cc. Это серьёзно ослабляет защиту учётных записей.

На финальном этапе сканирования программа обнаруживает установленные приложения для криптокошельков (Exodus, Electrum, Ledger Live) и извлекает содержащиеся в них конфиденциальные данные.

Как сообщается в документе исследователей, Banshee впервые появился в подпольных сообществах 13 августа 2024 года. Тогда злоумышленник под псевдонимом 0xe1 начал продвигать его на форуме XSS. Вредоносное ПО предлагалось по модели Malware-as-a-Service (MaaS, "вредоносное ПО как услуга") за 1500 долларов США в месяц. Позднее, 17 октября 2024 года, тот же злоумышленник объявил о продаже всего проекта целиком. В пакет входили полный исходный код, доступ к инфраструктуре и все необходимые компоненты для запуска. Стоимость готового решения составила 30 000 долларов. Продавец утверждал, что проект уже имеет пять активных покупателей, что свидетельствует о высоком спросе на подобные инструменты в криминальной среде.

Технически Banshee написан на языке C++ и поддерживает обе архитектуры процессоров Apple: x86_64 и ARM64 (Apple Silicon). Механизм заражения типичен для современных угроз. Чаще всего программа проникает в систему через взломанные или пиратские приложения, скачанные из неофициальных источников. Злоумышленники также маскируют вредоносное ПО под обновления популярных программ вроде Google Chrome. Используются фишинговые кампании: пользователь получает письмо или сообщение с вредоносной ссылкой или вложением. Кроме того, заражение происходит через скомпрометированные веб-сайты или социальную инженерию на форумах и в Telegram-каналах.

Особого внимания заслуживает механизм противодействия анализу. Перед началом работы программа проверяет, не запущена ли она в отладчике, не работает ли в виртуальной машине. Отдельная проверка касается систем с русским языком интерфейса. Если одно из условий выполняется, программа прекращает свою работу. Это стандартная практика для вредоносного ПО, стремящегося избежать обнаружения исследователями и автоматизированными песочницами.

После успешного прохождения проверок Banshee приступает к сбору данных. Сначала он копирует базу данных связки ключей iCloud (login keychain). Затем переходит к файлам пользователя. Через автоматизацию Finder программа собирает документы с рабочего стола и из папки "Документы". Особый интерес для злоумышленников представляют файлы с расширениями txt, docx, rtf, doc, wallet, keys, key. Размер каждого файла не должен превышать 50 килобайт. Параллельно копируются файлы cookie браузера Safari и база данных приложения "Заметки" Apple.

Примечательно, что программа временно отключает системные звуки на время своей работы, а также сбрасывает разрешения на автоматизацию AppleEvents через команду tccutil reset. Это позволяет повторно запросить доступ к управлению Finder, если пользователь ранее отклонил такой запрос.

На завершающем этапе Banshee упаковывает все собранные данные в ZIP-архив, шифрует его с помощью операции XOR, затем кодирует в Base64 и отправляет на командный сервер по протоколу HTTP. Адрес удалённого сервера задаётся конфигурацией. При этом каждое заражённое устройство может использовать отдельный прокси-сервер для маршрутизации трафика. Это позволяет злоумышленникам чаще менять инфраструктуру и избегать блокировок.

Пользователям macOS, особенно тем, кто работает с криптовалютами, стоит критически пересмотреть свои меры безопасности. Установка пиратского или взломанного программного обеспечения, использование непроверенных расширений браузера, игнорирование подозрительных писем - всё это прямой путь к заражению. Крайне важно применять двухфакторную аутентификацию не через браузерные расширения, а через отдельные приложения-аутентификаторы или аппаратные ключи. И конечно, ни одна операционная система не защищена на сто процентов.

IPv4

• 45.142.122.92

URLs

• http://45.142.122.92/send/
• https://freeipapi.com/api/json

SHA1

• 11aa6eeca2547fcf807129787bec0d576de1a29b56945c5a8fb16ed8bf68f782