В современном мире киберугрозы становятся всё более изощрёнными и нацелены на разнообразные платформы. Если ранее вредоносное ПО преимущественно атаковало Windows-системы, то теперь macOS также перестаёт быть недосягаемой целью для хакеров. Одним из самых ярких примеров такой тенденции стала появившаяся в августе 2024 года вредоносная программа Banshee Stealer, которая специализируется на кражах данных с компьютеров Apple. Эта программа примечательна тем, что не использует уязвимости системы напрямую, а вычисляет свои жертвы и похищает информацию посредством психологических приёмов и социального инжиниринга. В зоне риска находятся личные данные пользователей, в том числе данные браузеров и криптовалютных кошельков.
Разберёмся подробнее в особенностях работы Banshee Stealer, типах похищаемой информации и способах защиты от этой угрозы. Banshee Stealer стал известен в основном благодаря исследователям безопасности Elastic Security Labs. По их данным, злоумышленники предлагают использовать эту вредоносную программу как сервис за 3000 долларов в месяц, что значительно дороже, чем аналогичные продукты для Windows, например, AgentTesla. Высокая стоимость аренды Banshee говорит о растущем спросе на инструменты для атак macOS, что подтверждает серьёзность ситуации. Уникальной особенностью Banshee является то, что при обнаружении русскоязычной локализации системы или при запуске в виртуальной машине программа прекращает работу, что позволяет предположить, что её создатели - представители русскоязычных хакерских группировок.
Это распространённый приём для того, чтобы избежать преследования внутри своей страны. Принцип заражения Banshee основан на социальной инженерии. Вредоносное ПО использует команду osascript вместе с AppleScript для генерации поддельного запроса на ввод пароля. Пользователю предлагается ввести системный пароль якобы для выполнения важных операций, в то время как на самом деле таким образом программа получает права суперпользователя для дальнейших действий в системе. От пользователя требуется несложное действие - он должен сам ввести пароль, поскольку Banshee не устраняет уязвимостей самой системы, а обходит её, пользуясь недальновидностью человека.
Получив необходимые права, вредоносная программа начинает активный сбор информации. Она извлекает данные о системе - характеристики аппаратного обеспечения и установленные программы. Анализируются данные из приложения "Заметки", а также некоторые файлы с рабочего стола и из папки "Документы". Это позволяет собрать широкую картину пользовательской активности и получить доступ к потенциально важным данным. Особое внимание Banshee уделяет данным браузеров.
Помимо стандартных Safari-куки, вредоносная программа работает с девятью популярными браузерами, включая Firefox, Chrome, Edge и Brave. Помимо файлов cookie, похищается история просмотров, сохранённые логины, пароли и данные примерно ста расширений браузеров. Таким образом злоумышленники получают доступ к широкому спектру пользовательской информации, что может позволить им не только следить за действиями жертвы, но и воровать учётные данные для различных сервисов. Отдельно выделяется кража содержимого ключевого хранилища паролей - login.keychain-db.
Этот элемент защищен системным паролем пользователя, который, как правило, совпадает с паролем аккаунта, введённым при обмане. Благодаря этому злоумышленники получают доступ к сохранённым паролям, сертификатам и ключам, хранящимся в системе. Однако более надёжное хранилище iCloud Keychain или его локальные данные (Local Items) остаются вне досягаемости, поскольку они требуют других методов взлома. В них может храниться важная информация, такая как access keys и passkeys для авторизации без пароля. Отдельно стоит отметить возможность похищения криптовалютных кошельков.
Banshee ориентируется на некоторые из самых популярных программ для хранения криптовалют, такие как Atomic, Coinomi, Electrum, Exodus, Guarda, Ledger и Wasabi Wallet. Поскольку цифровые валюты становятся всё более популярными, именно данные этих приложений привлекают киберпреступников. Успешная кража такого рода данных может привести к полной потере средств жертв. Распределение Banshee Stealer пока остаётся неясным. Точные пути распространения вредоносного софта неизвестны, однако эксперты рекомендуют проявлять осторожность с загрузками из непроверенных источников, вкладышами в электронных письмах и сообщениями с подозрительными файлами.
Особенно стоит быть внимательным при запросах пароля системного пользователя, так как это основное средство, с помощью которого Banshee получает права доступа. Известно, что Apple встроила систему защиты XProtect, которая работает с правилами Yara для обнаружения вредоносного ПО. На момент публикации информации о Banshee обновление правил в XProtect отсутствует, и пользователям придется дождаться официальных обновлений от Apple. Для продвинутых пользователей возможна установка дополнительных антивирусных решений с поддержкой Yara или собственная настройка правил, если позволяют навыки. Самым эффективным средством защиты от Banshee и подобных программ остаётся осознанность и осторожность пользователей.
Важно избегать скачивания программ и открывания вложений из сомнительных источников. Никогда нельзя вводить системный пароль в подозрительных окнах и запросах, даже если они маскируются под легитимные запросы. В случае сомнений лучше прекратить действие и проконсультироваться с экспертом. Еще стоит постоянно обновлять операционную систему и устанавливать все официальные патчи, так как обновления часто закрывают потенциальные дыры, которые могут быть использованы другими типами вредоносного ПО. Помимо этого, рекомендуется использовать двухфакторную аутентификацию (2FA) на всех поддерживаемых сервисах, чтобы минимизировать последствия возможной утечки паролей.
Banshee Stealer - это напоминание о том, что никто, даже пользователи macOS, не застрахованы от целенаправленных атак злоумышленников. Технологии защиты развиваются, но человеческий фактор остаётся слабейшим звеном. Современная кибербезопасность требует комплексного подхода, включающего технические решения, образование пользователей и постоянное внимание к безопасности собственных устройств и данных. Поскольку мир постоянно меняется, и киберпреступники изобретают все новые методы, важно следить за новостями и своевременно обновлять знания о потенциальных угрозах, чтобы защитить свою цифровую жизнь и финансовые активы. Banshee Stealer показывает, что даже системы, которые долго считались относительно безопасными, могут стать объектом целенаправленных атак, и только бдительность и грамотный подход к безопасности помогут избежать неприятных последствий.
.
![MP gives BRUTALLY honest speech: 'Parliament is a WASTE OF TIME ' [video]](/images/A998F54E-53EC-4EFE-9308-FF1929340E02)
