Peneliti keamanan siber telah menemukan versi baru yang lebih tersembunyi dari malware pencuri informasi yang berfokus pada macOS yang disebut Pencuri Banshee.
“Dulu dianggap tidak aktif setelah kode sumbernya bocor pada akhir tahun 2024, iterasi baru ini memperkenalkan enkripsi string canggih yang terinspirasi oleh XProtect Apple,” kata Check Point Research dalam analisis baru yang dibagikan kepada The Hacker News. “Perkembangan ini memungkinkannya untuk menerobos sistem antivirus, sehingga menimbulkan risiko signifikan bagi lebih dari 100 juta pengguna macOS di seluruh dunia.”
Perusahaan keamanan siber mengatakan mereka mendeteksi versi baru pada akhir September 2024, dengan malware yang didistribusikan menggunakan situs web phishing dan repositori GitHub palsu dengan kedok perangkat lunak populer seperti Google Chrome, Telegram, dan TradingView.
Banshee Stealer pertama kali didokumentasikan pada Agustus 2024 oleh Elastic Security Labs. Ditawarkan dengan model malware-as-a-service (MaaS) kepada penjahat dunia maya lainnya seharga $3.000 per bulan, ia mampu mengumpulkan data dari browser web, dompet mata uang kripto, dan file yang cocok dengan ekstensi tertentu.
Operasi malware ini mengalami kemunduran pada akhir November 2024 ketika kode sumbernya bocor secara online, yang menyebabkannya menghentikan operasinya. Namun, Check Point mengatakan pihaknya telah mengidentifikasi beberapa kampanye yang masih mendistribusikan malware melalui situs web phishing, meskipun saat ini tidak diketahui apakah kampanye tersebut dilakukan oleh pelanggan sebelumnya.
Varian baru ini terkenal karena menghapus pemeriksaan bahasa Rusia yang digunakan untuk mencegah infeksi pada Mac yang telah menetapkan bahasa Rusia sebagai bahasa sistem default. Penghapusan fitur ini menunjukkan kemungkinan bahwa pelaku ancaman berupaya menjaring lebih banyak target potensial.
Pembaruan penting lainnya adalah penggunaan algoritma enkripsi string dari mesin antivirus XProtect Apple untuk mengaburkan string teks biasa yang digunakan dalam versi asli Banshee Stealer.
“Kampanye malware modern mengeksploitasi kerentanan umum manusia, bukan hanya kelemahan spesifik platform,” Eli Smadja, manajer kelompok riset keamanan di Check Point Research, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News. “MacOS, seperti OS lainnya, rentan terhadap ancaman yang terus berkembang ini, terutama karena penjahat dunia maya menggunakan teknik canggih seperti rekayasa sosial dan pembaruan perangkat lunak palsu.”
Perkembangan ini terjadi ketika pesan yang tidak diminta di Discord digunakan untuk menyebarkan berbagai keluarga malware pencuri seperti Nova Stealer, Ageo Stealer, dan Hexon Stealer dengan dalih menguji video game baru.
“Salah satu kepentingan utama para pencuri tampaknya adalah kredensial Discord yang dapat digunakan untuk memperluas jaringan akun yang disusupi,” kata Malwarebytes. “Ini juga membantu mereka karena beberapa informasi yang dicuri mencakup akun teman para korban.”
