Banshee Stealer nutzt Apple-Technik für Cyberangriffe : Neue Banshee-Stealer-Version trickst macOS-Nutzer aus
Die Macher der Schadsoftware „Banshee Stealer“ starten einen neuen Angriff auf macOS-Systeme – diesmal noch raffinierter. Die überarbeitete Version ist noch schwerer aufzuspüren und zielt darauf ab, sensible Daten wie Passwörter und Dokumente unbemerkt abzugreifen.
Nach dem Leak seines Quellcodes Ende 2024 galt die Malware „Banshee Stealer“ zunächst als inaktiv. Doch laut einer neuen Analyse von Check Point Research kehrt sie nun in einer weiterentwickelten Form zurück. Die neueste Version nutzt fortschrittliche String-Verschlüsselung, die ausgerechnet von Apples XProtect-Antivirus inspiriert wurde. Dadurch gelingt es der Malware, Antivirenprogramme zu umgehen und ein erhebliches Risiko für über 100 Millionen macOS-Nutzer weltweit darzustellen.
Check Point entdeckte die neue Variante bereits Ende September 2024. Die Verbreitung erfolgt über Phishing-Webseiten und gefälschte GitHub-Repositories, die sich als bekannte Software tarnen. Zu den genutzten Tarnnamen gehören Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT und Telegram.
Banshee Stealer: Ein gefährliches MaaS-Angebot für Cyberkriminelle
Banshee Stealer wurde erstmals im August 2024 von Elastic Security Labs dokumentiert. Die Malware wird im Rahmen eines „Malware-as-a-Service“ (MaaS)-Modells für 3.000 US-Dollar pro Monat angeboten. Sie ist darauf spezialisiert, Daten aus Webbrowsern, Kryptowallets und Dateien mit bestimmten Dateiendungen zu stehlen.
Das Banshee-Projekt erlitt im November 2024 einen schweren Rückschlag, als der Quellcode der Malware im Internet veröffentlicht wurde. Dies führte dazu, dass die ursprünglichen Betreiber ihre Aktivitäten einstellten. Allerdings hat Check Point inzwischen mehrere Kampagnen identifiziert, bei denen die Malware weiterhin über Phishing-Webseiten verbreitet wird. Ob diese Kampagnen von früheren Kunden der Malware stammen, ist derzeit unklar.
Die neuen Angriffe richten sich gezielt gegen macOS-Nutzer, während Windows-Nutzer parallel mit der ebenfalls wohlbekannten Malware Lumma Stealer attackiert werden. Dies deutet darauf hin, dass die Angreifer versuchen, möglichst viele Systeme unabhängig vom Betriebssystem zu kompromittieren.
Ein auffälliger Unterschied zur ursprünglichen Version von Banshee Stealer ist das Entfernen eines Schutzmechanismus, der Macs mit Russisch als Systemsprache von Infektionen ausnahm. Dieser Schritt zeigt, dass die Angreifer nun eine breitere Zielgruppe ins Visier nehmen.
Eine weitere bedeutende Neuerung der Malware ist der Einsatz eines String-Verschlüsselungsalgorithmus, der aus Apples XProtect-Antivirus stammt. Dadurch werden Klartextstrings, die in der Originalversion von Banshee Stealer noch üblich waren, umfassend verschleiert. Der gewünschte Effekt trat ein – die Erkennung durch Antivirenprogramme wird inzwischen seit einem Zeitraum von mehr als zwei Monaten erheblich erschwert.
Gefahr durch soziale Manipulation und gefälschte Software-Updates
Eli Smadja aus dem Sicherheitsteam bei Check Point Research betont in seiner Analyse, dass moderne Malware-Kampagnen noch stärker als bisher schon menschliche Schwächen ausnutzen. Dabei greifen Cyberkriminelle verstärkt auf Methoden wie soziale Manipulation und gefälschte Software-Updates zurück. „macOS ist – wie jedes andere Betriebssystem – diesen sich ständig weiterentwickelnden Bedrohungen ausgesetzt“, so Smadja.
Parallel zur Banshee-Stealer-Kampagne beobachten Forscher eine zunehmende Verbreitung von Stealer-Malware auf Discord. Das Vehikel sind Nachrichten, die unaufgefordert an möglichst viele Nutzer geschickt werden. Zu den betroffenen Malware-Familien gehören Nova Stealer, Ageo Stealer und Hexon Stealer, die unter dem Vorwand beworben werden, neue Videospiele zu testen.
Laut Malwarebytes interessieren sich die Angreifer vor allem für die Zugangsdaten von Discord-Konten. Mit diesen kompromittierten Konten können sie ihr Netzwerk dann weiter ausbauen und auch auf die verknüpften Freundeskonten der Opfer zugreifen.