摘要：研究人员深入分析了最新版本的 Banshee macOS Stealer，该恶意软件成功躲避了多数杀毒引擎的检测。其采用独特的字符串加密技术，模仿苹果 XProtect 的加密方法，使得关键字符串模糊处理，增加了检测难度。随着 macOS 用户数量超过 1 亿

研究人员深入分析了最新版本的 Banshee macOS Stealer，该恶意软件成功躲避了多数杀毒引擎的检测。其采用独特的字符串加密技术，模仿苹果 XProtect 的加密方法，使得关键字符串模糊处理，增加了检测难度。随着 macOS 用户数量超过 1 亿，Banshee 成为网络犯罪分子的目标，专门窃取用户凭据、浏览器数据和加密货币钱包信息。它利用反分析技术，如进程创建，逃避检测。被窃取的信息经过压缩和加密后，发送至指挥与控制服务器。该服务器架构经历多次演变，现采用精简的 FastAPI 端点，并通过伪装成破解软件的钓鱼网站进行分发，增加隐蔽性。Check Point Research 发现新版本通过钓鱼网站传播恶意软件，针对 macOS 用户。

研究人员对最新版本的 Banshee macOS Stealer 样本进行了深入分析，该样本最初成功躲避了大多数杀毒引擎的检测。分析表明，这种恶意软件采用了一种独特的字符串加密技术，紧密模仿了苹果 XProtect 杀毒引擎在其二进制文件中保护 YARA 规则所使用的加密方法。通过利用这一共享的加密算法，Banshee 能够对关键字符串进行模糊处理，从而使各种安全解决方案的即时检测变得复杂。

“随着 macOS 在全球超过 1 亿用户中持续受到欢迎，它正成为网络犯罪分子越来越有吸引力的目标，” Check Point 的研究人员指出。Banshee 被归类为一种专门针对用户凭据、浏览器数据和加密货币钱包的窃取恶意软件。它采用多种反分析技术以逃避检测，例如分叉和创建进程。这种恶意软件能够从众多浏览器及其扩展中提取信息，包括但不限于 Chrome、Brave、Edge、Vivaldi、Yandex 和 Opera，同时还专注于特定的加密货币钱包扩展。

在数据被窃取后，Banshee 会压缩被盗信息，使用活动 ID 进行 XOR 加密，将其编码为 base64，然后将其外泄至指挥与控制 (C&C) 服务器。C&C 服务器的架构经历了多次变革，从一个基于 Django 的服务器及其独特的管理面板，演变为一个专门用于机器人通信的精简 FastAPI 端点。目前，托管管理面板的服务器位于 Relay 服务器后面，以增强其隐蔽能力。Check Point Research 发现了一个针对 macOS 用户的新版本 Banshee Stealer，通过伪装成破解软件的各种网络钓鱼仓库进行分发。这些仓库在恶意软件部署前几周就已建立，最近的活动利用了一个针对 macOS 用户的钓鱼网站，伪装成 Telegram 下载以传播恶意软件。

来源：老孙科技前沿