域名預(yù)訂/競價，好“米”不錯過

長久以來， macOS相關(guān)產(chǎn)品由于其整體市場份額占比不高，以及系統(tǒng)較為封閉的原因，用戶普遍認為相對于Windows生態(tài)，macOS更加安全。然而，隨著 macOS 越來越受歡迎，在全球已擁有超過 1 億活躍用戶。在剛剛出爐的IDC 2024年全球市場報告中可以看到，Apple已經(jīng)成為全球第四大個人電腦供應(yīng)商，其2024年度漲幅則位列前三。一個具有龐大用戶基數(shù)的操作生態(tài)系統(tǒng)無疑對不法分子有著強烈的誘惑。自2024年9月開始，Check Point Research (CPR) 一直在密切監(jiān)控并揭露了惡意軟件 Banshee macOS Stealer，該軟件可以竊取瀏覽器憑證、加密貨幣錢包和其他敏感數(shù)據(jù)。Banshee macOS Stealer在隨后一段時間幾經(jīng)升級“改頭換面”，因此Check Point安全專家希望通過一次深入的揭秘引起macOS用戶以及各企業(yè)與機構(gòu)的關(guān)注，并且保持高度警惕同時采取主動網(wǎng)絡(luò)安全防護措施。

Check Point Research (CPR) 一直在監(jiān)控這一針對 macOS 用戶的新興惡意軟件。以下是一些企業(yè)和用戶須知。

切勿盲目做出安全假設(shè)

許多企業(yè)與 macOS 用戶認為，由于該平臺采用基于 Unix 的架構(gòu)，而且市場份額歷來較低，因此對網(wǎng)絡(luò)犯罪分子的吸引力較小，或會幸免于惡意軟件攻擊。雖然 macOS 具有 Gatekeeper、XProtect 和沙盒等多項強大的安全防護功能，但 Banshee Stealer 的出現(xiàn)提醒我們，任何操作系統(tǒng)都無法幸免于難。

這一隱蔽的惡意軟件不僅會侵入系統(tǒng)，而且還會暗中運行，與正常系統(tǒng)進程無縫融合，竊取瀏覽器憑證、加密貨幣錢包、用戶密碼和敏感文件數(shù)據(jù)。Banshee 的真正危害之處在于它能夠逃避檢測。即使是經(jīng)驗豐富的 IT 專業(yè)人員也很難發(fā)現(xiàn)其存在。Banshee Stealer 不只是又一種惡意軟件，更是一個安全警告，警示用戶必須重新評估自己的安全假設(shè)，并采取主動防護措施來保護其數(shù)據(jù)。

Banshee Stealer 的演變：一種新型威脅

Banshee MacOS Stealer 于 2024 年年中首次引起公眾關(guān)注，當時它在 XSS 和 Exploit 等地下論壇以及 Telegram 上以“竊取程序即服務(wù)”的形式出售。攻擊者只需花費 3,000 美元就能買到這款惡意軟件，向 macOS 用戶發(fā)起攻擊。9 月下旬，CPR 發(fā)現(xiàn)了一個從未檢測到過的新版 Banshee。值得注意的是，其開發(fā)者從 Apple 自有 XProtect 殺毒引擎中竊得一種字符串加密算法，并用它取代了原始版本中使用的純文本字符串?；蛞蛴诖?，Banshee 在過去兩個多月中逃過了殺毒引擎的檢測。在此期間，攻擊者通過網(wǎng)絡(luò)釣魚網(wǎng)站和惡意 GitHub 倉庫傳播此惡意軟件，將其偽裝成 Chrome 瀏覽器、Telegram 和 TradingView 等熱門軟件工具。

2024 年 11 月，Banshee 的運營發(fā)生了重大變故，其源代碼被泄露在 XSS 地下論壇上，也不再公開銷售 Stealer 即服務(wù)。這起泄漏事件不僅暴露了其內(nèi)部運作方式，而且還降低了其檢測難度。雖然此次泄露事件讓殺毒引擎的檢出率得以提高，但也引發(fā)了人們對其他攻擊者開發(fā)新變種的擔憂。

Banshee Stealer 的運作方式

Banshee Stealer 的功能揭示了現(xiàn)代惡意軟件背后的復雜性。安裝完成后，它將：

· 竊取系統(tǒng)數(shù)據(jù)：瞄準 Chrome、Brave、Edge 和 Vivaldi 等瀏覽器，以及加密貨幣錢包的瀏覽器擴展程序。此外，它不僅會利用雙重身份驗證 (2FA) 擴展程序捕獲敏感憑證，而且還會收集軟件和硬件詳細信息、外部 IP 地址和 macOS 密碼。

· 誘騙用戶：通過偽裝成合法系統(tǒng)提示的迷惑性彈出窗口，誘騙用戶輸入其 macOS 密碼。

· 逃避檢測：利用反分析技術(shù)躲避調(diào)試工具和殺毒引擎。

· 泄露數(shù)據(jù)：通過加密和編碼文件向命令和控制服務(wù)器發(fā)送竊取的信息。

Banshee 登錄面板

攻擊者將 GitHub 倉庫用作 Banshee 的主要傳播途徑。這些攻擊活動使用 Banshee 向 macOS 用戶發(fā)起攻擊，同時使用另一種已知的惡意軟件 Lumma Stealer 瞄準 Windows 用戶。在三輪攻擊中，攻擊者創(chuàng)建惡意倉庫來冒充常用軟件，誘使用戶下載此惡意軟件。這些倉庫往往看似合法，在通過星級評分和評論等贏得用戶信任后，便會發(fā)起惡意攻擊活動。

Github.io 網(wǎng)站

企業(yè)必須提高風險意識

企業(yè)必須認識到現(xiàn)代惡意軟件帶來的更廣泛風險，包括數(shù)據(jù)安全事件會泄露敏感信息并損害企業(yè)聲譽，造成重大經(jīng)濟損失；針對加密貨幣錢包的定向攻擊會危及數(shù)字資產(chǎn)；以及隱蔽惡意軟件可以逃避檢測，若未識別則會造成長期損害，導致運維中斷。

從 Banshee Stealer 中汲取的經(jīng)驗教訓

Banshee 的出現(xiàn)表明網(wǎng)絡(luò)威脅正不斷演進，必須采取強大防御措施。自 2024 年 11 月其源代碼被泄露后，Banshee Stealer 即服務(wù)運營即正式關(guān)閉。不過，CPR 發(fā)現(xiàn)仍有多起攻擊活動通過網(wǎng)絡(luò)釣魚網(wǎng)站傳播此惡意軟件。目前尚不清楚這些攻擊活動是由以前的客戶還是開發(fā)者的私人團伙發(fā)起。

攻擊活動集群

最新版本 Banshee 的一大更新是取消了特定語種檢查。先前的惡意軟件版本一檢測到某些特定語種就會終止運行，可能是為了避免攻擊特定地區(qū)。現(xiàn)在刪除這一功能進一步擴大了潛在目標范圍。

隨著網(wǎng)絡(luò)犯罪分子不斷變換花樣，安全防護解決方案必須與時俱進，以提供全面的安全防護。企業(yè)和用戶都必須采取主動防護措施來抵御威脅，采用先進工具，并時刻保持警惕，謹慎行事。Check Point Research 一直致力于及時發(fā)現(xiàn)和有效緩解安全風險。通過及時了解最新信息并投資強大的網(wǎng)絡(luò)安全措施，企業(yè)用戶可以有效保護其數(shù)據(jù)并靈活應(yīng)對這些威脅。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！