Banshee Stealer: Mối Đe Dọa Mới Đối Với Người Dùng macOS

Giới thiệu

Trong bối cảnh an ninh mạng ngày càng phức tạp, Banshee nổi lên như một mối đe dọa đáng gờm đối với người dùng macOS. Được phát hiện lần đầu vào năm 2024, Banshee là một phần mềm độc hại chuyên đánh cắp thông tin, nhắm vào các trình duyệt và ví tiền điện tử trên hệ điều hành macOS. Với khả năng trốn tránh các công cụ chống virus trong một thời gian dài, Banshee đã gây ra nhiều lo ngại cho cộng đồng an ninh mạng.

Banshee không chỉ đơn thuần là một phần mềm độc hại thông thường; nó còn là một dịch vụ stealer-as-a-service, cho phép các tác nhân đe dọa thuê và sử dụng để thực hiện các cuộc tấn công nhắm vào người dùng macOS. Phần mềm độc hại này có khả năng đánh cắp thông tin đăng nhập từ nhiều trình duyệt khác nhau và nhắm mục tiêu vào các tiện ích mở rộng trình duyệt liên quan đến ví tiền điện tử. Điều này khiến Banshee trở thành một công cụ nguy hiểm trong tay các tội phạm mạng, đặc biệt là khi mã nguồn của nó đã bị rò rỉ trên các diễn đàn ngầm, cho phép nhiều kẻ tấn công khác có thể tiếp cận và sử dụng.

Với sự phát triển không ngừng của các chiến dịch tấn công và sự tinh vi trong cách thức hoạt động, Banshee đã trở thành một thách thức lớn đối với các chuyên gia bảo mật. Việc hiểu rõ về cơ chế hoạt động và các biện pháp phòng ngừa là điều cần thiết để bảo vệ người dùng macOS khỏi mối đe dọa này.

Thông tin mã độc

Vào cuối tháng 9, Check Point Research đã phát hiện ra các phiên bản mới của Banshee Stealer. Các mẫu này đã không bị phát hiện bởi các công cụ chống virus trên VirusTotal trong hơn hai tháng. Chỉ khi mã nguồn của Banshee Stealer bị rò rỉ trên các diễn đàn ngầm XSS vào ngày 23 tháng 11, các nhà cung cấp phần mềm chống virus mới cập nhật quy tắc phát hiện để nhận diện cả mã gốc bị rò rỉ và các phiên bản cập nhật.

Một điểm khác biệt chính giữa các phiên bản cũ và mới là việc mã hóa chuỗi, thay thế các chuỗi văn bản từ các mẫu được báo cáo vào tháng 8. Khi Check Point Research lần đầu tiên nhận được các mẫu mã hóa vào cuối tháng 9, họ đã tạo ra một quy tắc Yara dựa trên mã hóa chuỗi, dẫn đến nhiều kết quả sai sót. Tuy nhiên, sau khi điều tra thêm, họ phát hiện rằng Banshee sử dụng cùng một phương pháp mã hóa mà Apple sử dụng trong macOS cho mã hóa chuỗi trong công cụ chống virus XProtect của mình.

Mã hóa này được sử dụng để giải mã các YARA rule trong các tệp nhị phân của XProtect Remediator. Trong khi các tệp nhị phân của XProtect giải mã các quy tắc YARA cho mục đích phát hiện, Banshee Stealer sử dụng cùng một thuật toán để giải mã các chuỗi quan trọng cho chức năng của nó. Những chuỗi này bao gồm thông tin cần thiết để phần mềm độc hại hoạt động hiệu quả mà không bị phát hiện.

Banshee Stealer là một phần mềm độc hại được thiết kế để thu thập thông tin từ hệ thống macOS, bao gồm dữ liệu trình duyệt và ví tiền điện tử. Phần mềm độc hại này được phát triển để hoạt động trên cả hai kiến trúc x86_64 và ARM64 của macOS, cho thấy sự linh hoạt và khả năng thích ứng cao của nó.

Một trong những điểm nổi bật của Banshee Stealer là khả năng thu thập dữ liệu từ nhiều trình duyệt khác nhau, bao gồm lịch sử trình duyệt, cookie, thông tin đăng nhập, và dữ liệu tự động điền. Đặc biệt, nó có thể truy cập vào khoảng 100 tiện ích mở rộng trình duyệt, cho phép thu thập một lượng lớn dữ liệu nhạy cảm từ người dùng.

Để tránh bị phát hiện, Banshee Stealer sử dụng các kỹ thuật cơ bản như phát hiện gỡ lỗi thông qua API sysctl. Nó cũng kiểm tra xem phần mềm có đang chạy trong môi trường ảo hóa hay không bằng cách sử dụng lệnh system_profiler SPHardwareDataType | grep 'Model Identifier' để xác định xem chuỗi "Virtual" có xuất hiện trong mô hình phần cứng hay không. Ngoài ra, phần mềm độc hại này còn kiểm tra ngôn ngữ hệ thống để tránh lây nhiễm vào các hệ thống sử dụng tiếng Nga, một chiến thuật phổ biến để tránh các khu vực mà tác giả phần mềm độc hại không muốn nhắm tới.

Một kỹ thuật khác mà Banshee Stealer sử dụng là tạo ra một lời nhắc mật khẩu giả mạo bằng AppleScript, yêu cầu người dùng nhập mật khẩu để cập nhật cài đặt hệ thống. Mật khẩu này sau đó được xác thực và lưu trữ, cho phép phần mềm độc hại truy cập vào dữ liệu nhạy cảm được lưu trữ trong hệ thống.

Banshee Stealer cũng thu thập thông tin hệ thống bằng cách thực thi các lệnh để lấy thông tin phần mềm và phần cứng, cũng như địa chỉ IP công cộng của máy. Dữ liệu này được lưu trữ dưới dạng tệp JSON và có thể được sử dụng để phân tích thêm hoặc để thực hiện các cuộc tấn công tiếp theo.

Các Chiến Dịch Trên GitHub

Trong nỗ lực phát tán Banshee Stealer, các tác nhân đe dọa đã tận dụng GitHub như một nền tảng để phân phối phần mềm độc hại này. Các chiến dịch trên GitHub không chỉ nhắm mục tiêu vào người dùng macOS mà còn cả người dùng Windows, thông qua việc kết hợp Banshee với các phần mềm độc hại khác như Lumma Stealer.

Các kho lưu trữ GitHub độc hại thường được ngụy trang dưới dạng các dự án phần mềm hợp pháp hoặc công cụ hữu ích, nhằm lừa người dùng tải xuống và cài đặt phần mềm độc hại mà không hề hay biết. Các tác nhân đe dọa thường sử dụng các kỹ thuật xã hội để thuyết phục người dùng rằng các kho lưu trữ này là an toàn và đáng tin cậy.

Một khi người dùng tải xuống và chạy mã từ các kho lưu trữ này, Banshee Stealer sẽ được kích hoạt và bắt đầu thu thập dữ liệu nhạy cảm từ hệ thống của họ. Điều này bao gồm thông tin đăng nhập trình duyệt, ví tiền điện tử, và các tệp chứa thông tin quan trọng. Các dữ liệu này sau đó được gửi về máy chủ điều khiển của kẻ tấn công, nơi chúng có thể được sử dụng cho các mục đích xấu xa khác.

Việc sử dụng GitHub như một phương tiện phân phối phần mềm độc hại cho thấy sự tinh vi và sáng tạo của các tác nhân đe dọa trong việc khai thác các nền tảng phổ biến để thực hiện các cuộc tấn công mạng. Điều này cũng đặt ra thách thức lớn cho các nhà phát triển và người dùng trong việc bảo vệ hệ thống của mình khỏi các mối đe dọa tiềm ẩn.

Chiến dịch phiên bản mới của Banshee Stealer

Banshee Stealer được phát tán chủ yếu qua các trang web lừa đảo và các kho lưu trữ GitHub độc hại. Trong một số chiến dịch trên GitHub, các tác nhân đe dọa đã nhắm mục tiêu cả người dùng Windows và macOS với Banshee và Lumma Stealer. Các chiến dịch này thường ngụy trang phần mềm độc hại dưới dạng các chương trình phổ biến như Google Chrome, TradingView, và Telegram.

Sau khi mã nguồn của Banshee bị rò rỉ trên các diễn đàn ngầm, các công cụ chống virus đã cập nhật quy tắc phát hiện để nhận diện cả mã gốc và các phiên bản cập nhật. Tuy nhiên, Check Point Research vẫn tiếp tục quan sát các chiến dịch phát tán phần mềm độc hại thông qua các trang web lừa đảo giả danh phần mềm hợp pháp.

Điểm nổi bật của chiến dịch

• Mã hóa chuỗi: Phiên bản mới của Banshee sử dụng mã hóa chuỗi để tránh bị phát hiện, một kỹ thuật lấy từ XProtect của Apple.

• Phương thức phát tán: Phần mềm độc hại được phát tán qua các trang web lừa đảo và kho lưu trữ GitHub, nhắm mục tiêu cả người dùng Windows và macOS.

• Rò rỉ mã nguồn: Mã nguồn của Banshee bị rò rỉ đã giúp các công cụ chống virus cập nhật quy tắc phát hiện, nhưng các chiến dịch phát tán vẫn tiếp tục.

Indicators of Compromise

• MacOS archive releases

    cdfbcb3d850713c49d451b3e80fb8507f86ba4ad9385e083c2a2bf8d11adc4fb
    1dcf3b607d2c9e181643dd6bf1fd85e39d3dc4f95b6992e5a435d0d900333416
    d8ecc92571b3bcd935dcab9cdbeda7c2ebda3021dda013920ace35d294db07be
  

• Banshee MacOS Stealer

    00c68fb8bcb44581f15cb4f888b4dec8cd6d528cacb287dc1bdeeb34299b8c93
    ce371a92e905d12cb16b5c273429ae91d6ff5485dda04bfedf002d2006856038
    d04f71711e7749a4ff193843ae9ce852c581e55eaf29b8eec5b36c4b9c8699c2
  

• Banshee Command & Control

    41[.]216[.]183[.]49
  

• Lumma Stealer

    3bcd41e8da4cf68bb38d9ef97789ec069d393306a5d1ea5846f0c4dc0d5beaab
    b978c70331fc81804dea11bf0b334aa324d94a2540a285ba266dd5bbfbcbc114
  

• Lumma Stealer

    authorisev[.]site
    contemteny[.]site
    dilemmadu[.]site
    faulteyotk[.]site
    forbidstow[.]site
    goalyfeastz[.]site
    opposezmny[.]site
    seallysl[.]site
    servicedny[.]site
    hxxps://steamcommunity[.]com/profiles/76561199724331900
  

Khuyến nghị

Để bảo vệ thiết bị macOS của bạn khỏi các mối đe dọa an ninh mạng ngày càng phức tạp, việc áp dụng các biện pháp bảo mật là vô cùng cần thiết. Dưới đây là một số khuyến nghị quan trọng:

• Sử dụng mã hóa tệp: Kích hoạt FileVault để mã hóa toàn bộ ổ đĩa, bảo vệ dữ liệu khỏi truy cập trái phép.

• Bật System Integrity Protection (SIP): Tính năng này bảo vệ các tệp hệ thống quan trọng khỏi bị sửa đổi trái phép, giúp ngăn chặn phần mềm độc hại.

• Cấu hình Gatekeeper: Chỉ cho phép cài đặt ứng dụng từ App Store hoặc các nhà phát triển đã được xác định để ngăn chặn phần mềm độc hại.

• Thiết lập tường lửa: Bật tường lửa để kiểm soát các kết nối mạng, ngăn chặn truy cập trái phép.

• Điều chỉnh cài đặt quyền riêng tư: Quản lý quyền truy cập của ứng dụng vào thông tin cá nhân để bảo vệ dữ liệu nhạy cảm.

• Bảo vệ mật khẩu firmware: Ngăn chặn người dùng trái phép khởi động Mac từ ổ đĩa ngoài hoặc chế độ khôi phục.

Kết luận

Bảo mật macOS không chỉ đơn thuần là việc kích hoạt các tính năng bảo mật mà còn là việc xây dựng một tư duy ưu tiên bảo vệ dữ liệu ở mọi cấp độ. Mỗi biện pháp bảo mật đều đóng góp vào việc tạo ra một lá chắn toàn diện chống lại các mối đe dọa mạng.

Việc tuân thủ các hướng dẫn này giúp người dùng đảm bảo thiết bị macOS của họ được bảo vệ, mang lại sự an tâm trong thế giới số. Điều này đặc biệt quan trọng đối với các cá nhân và chuyên gia trong các ngành có rủi ro cao như tài chính, y tế và chính phủ, nơi mà việc bảo vệ thông tin nhạy cảm là tối quan trọng.

Tham khảo

1. Banshee: The Stealer That “Stole Code” From MacOS XProtect

2. New Banshee Stealer Variant Bypasses Antivirus with Apple's XProtect-Inspired Encryption

3. New Banshee Stealer variant continues attacks on macOS devices

4. Banshee 2.0 Malware Steals Apple's Encryption to Hide on Macs