Tổng quan
Kể từ tháng 9/2024, các nhà nghiên cứu của Check Point đã phát hiện phiên bản mới của Banshee Stealer, một dòng phần mềm độc hại đánh cắp thông tin nhiều loại dữ liệu từ hệ điều hành macOS, bao gồm mật khẩu, thông tin hệ thống, mật khẩu keychain, dữ liệu trình duyệt, plugin trình duyệt, ví tiền điện tử và các tệp dữ liệu nhạy cảm khác. Điều khiến Banshee thực sự đáng báo động là khả năng trốn tránh bị phát hiện. Ngay cả các chuyên gia bảo mật dày dạn kinh nghiệm cũng phải rất khó khăn để xác định sự hiện diện của nó.
Banshee lần đầu tiên được phát hiện vào giữa năm 2024, được quảng cáo là “stealer-as-a-service” trên các diễn đàn tội phạm mạng, chẳng hạn như XSS và Exploit và Telegram. Với giá 3.000 USD, các tác nhân đe dọa có thể mua phần mềm độc hại này để nhắm mục tiêu vào người dùng macOS.
Vào cuối tháng 9/2024, Check Point đã xác định được một phiên bản Banshee Stealer mới, chưa bị phát hiện và có một điểm thú vị: Các nhà phát triển của nó đã “đánh cắp” một thuật toán mã hóa chuỗi từ chương trình diệt vi-rút XProtect của riêng Apple, thay thế các chuỗi văn bản thuần túy được sử dụng trong phiên bản gốc.
Động thái này có thể giúp Banshee Stealer tránh được sự phát hiện của các công cụ diệt vi-rút suốt hơn hai tháng qua. Trong khoảng thời gian này, các tác nhân đe dọa đã phân phối phần mềm độc hại thông qua các trang web lừa đảo và kho lưu trữ GitHub độc hại, giả mạo là các công cụ phần mềm phổ biến như Chrome, Telegram và TradingView.
Hoạt động của Banshee Stealer đã có bước ngoặt đáng kể vào tháng 11/2024 khi mã nguồn của nó bị rò rỉ trên các diễn đàn tội phạm mạng và các nhà phát triển của nó được cho là đã tạm thời dừng lại các hoạt động của mình, nhưng phần mềm độc hại này vẫn tiếp tục được phân phối thông qua các trang web lừa đảo và kho lưu trữ GitHub giả mạo.
Chức năng hoạt động
Chức năng mới được cập nhật trong phiên bản Banshee Stealer mới cho thấy sự tinh vi của phần mềm độc hại này:
- Đánh cắp dữ liệu hệ thống: Nhắm mục tiêu vào các trình duyệt như Chrome, Brave, Edge và Vivaldi, cùng với các tiện ích mở rộng trình duyệt cho ví tiền điện tử. Phần mềm độc hại cũng khai thác tiện ích mở rộng xác thực hai yếu tố (2FA) để nắm bắt thông tin đăng nhập từ người dùng. Ngoài ra, Banshee Stealer thu thập thông tin chi tiết về phần mềm và phần cứng, địa chỉ IP và mật khẩu của macOS.
- Đánh lừa người dùng: Sử dụng các cửa sổ bật lên có sức thuyết phục được thiết kế giống như lời nhắc hệ thống hợp lệ để dụ dỗ người dùng nhập mật khẩu macOS của họ.
- Tránh bị phát hiện: Sử dụng các kỹ thuật chống phân tích để tránh các công cụ gỡ lỗi và chương trình diệt vi-rút phát hiện.
- Rò rỉ dữ liệu: Gửi thông tin bị đánh cắp đến máy chủ điều khiển và ra lệnh (C2) thông qua các tệp được mã hóa.
Hình 1. Giao diện đăng nhập Banshee Stealer
Như đã được đề cập, các tin tặc đã sử dụng kho lưu trữ GitHub làm phương pháp phân phối chính cho Banshee Stealer. Các chiến dịch này nhắm mục tiêu vào người dùng macOS bằng Banshee trong khi đồng thời nhắm mục tiêu vào người dùng Windows bằng một phần mềm độc hại khác có tên là Lumma Stealer.
Trong ba đợt hoạt động, các kho lưu trữ độc hại đã được tạo ra để mạo danh các phần mềm phổ biến và dụ dỗ người dùng tải xuống phần mềm độc hại. Các kho lưu trữ này thường có vẻ hợp pháp, với các ngôi sao và đánh giá để xây dựng lòng tin trước khi tung ra các chiến dịch độc hại của chúng.
Hình 2. Trang web Github[.]io
Cụm chiến dịch
Sự phát triển của Banshee Stealer nhấn mạnh bản chất đang phát triển của các mối đe dọa mạng và nhu cầu phòng thủ mạnh mẽ. Kể từ khi mã nguồn bị rò rỉ vào tháng 11/2024, hoạt động của Banshee Stealer đã chính thức bị đóng cửa. Tuy nhiên, các nhà nghiên cứu đã xác định được nhiều chiến dịch vẫn đang phân phối phần mềm độc hại này thông qua các trang web lừa đảo.
Đáng chú ý, một bản cập nhật đáng chú ý trong phiên bản mới nhất của Banshee Stealer là việc loại bỏ kiểm tra ngôn ngữ tiếng Nga. Các phiên bản phần mềm độc hại trước đó đã chấm dứt hoạt động nếu chúng phát hiện ra tiếng Nga, có khả năng là để tránh nhắm mục tiêu vào các khu vực cụ thể. Việc loại bỏ tính năng này cho thấy sự mở rộng trong các mục tiêu tiềm năng của phần mềm độc hại.
Hình 3. Cụm các chiến dịch tấn công
Sự phát triển này diễn ra khi các tin nhắn không mong muốn trên Discord đang được sử dụng để phát tán nhiều loại phần mềm độc hại đánh cắp như Nova Stealer, Ageo Stealer và Hexon Stealer với lý do thử nghiệm một trò chơi điện tử mới.
Kết luận
Khi macOS tiếp tục trở nên phổ biến, với hơn 100 triệu người dùng trên toàn cầu, nó đang trở thành mục tiêu ngày càng hấp dẫn đối với tội phạm mạng. Mặc dù nổi tiếng là hệ điều hành an toàn, sự gia tăng của các mối đe dọa tinh vi như Banshee Stealer làm nổi bật tầm quan trọng của sự cảnh giác và các biện pháp bảo mật mạng chủ động.
Hồng Đạt
(Tổng hợp)
09:00 | 05/11/2024
10:00 | 25/11/2024
22:00 | 31/01/2025
17:00 | 22/11/2024
14:00 | 04/02/2025
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
22:00 | 25/01/2025
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
09:00 | 08/01/2025
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025