Numa altura em que o macOS continua a ganhar popularidade, com mais de 100 milhões de utilizadores em todo o mundo, também se está a tornar um alvo cada vez mais atrativo para os cibercriminosos. Apesar da sua reputação como um sistema operativo seguro, o aumento de ameaças sofisticadas como o Banshee MacOS Stealer realça a importância da vigilância e de medidas proativas de cibersegurança.
A Check Point Research, equipa de investigação da Check Point® Software Technologies Ltd., tem vindo a monitorizar este malware emergente, que visa os utilizadores do macOS. O que é que empresas e os utilizadores precisam de saber?
Quando as suposições de segurança são insuficientes
Muitos utilizadores do macOS assumem que a arquitetura baseada em Unix e a quota de mercado historicamente mais baixa da plataforma a tornam um alvo menos atrativo para os cibercriminosos e, por conseguinte, imune a malware. Embora o macOS inclua funcionalidades de segurança robustas como o Gatekeeper, XProtect e sandboxing, a ascensão do Banshee stealer serve para lembrar que nenhum sistema operativo está imune a ameaças.
Este malware furtivo não se infiltra apenas; opera sem ser detetado, misturando-se perfeitamente com os processos normais do sistema enquanto rouba credenciais do navegador, carteiras de criptomoedas, palavras-passe de utilizadores e dados de ficheiros sensíveis. O que torna o Banshee verdadeiramente alarmante é a sua capacidade de evitar a deteção. Mesmo os profissionais de TI experientes têm dificuldade em identificar a sua presença. O Banshee stealer não é apenas mais uma peça de malware – é um aviso crítico para que os utilizadores reavaliem os seus pressupostos de segurança e tomem medidas proativas para salvaguardar os seus dados.
A evolução do Banshee Stealer: Uma nova espécie de ameaça
O Banshee MacOS Stealer chamou a atenção do público pela primeira vez em meados de 2024, anunciado como um “stealer-as-a-service” em fóruns clandestinos, como XSS e Exploit, e Telegram. Por 3.000 dólares, os agentes de ameaças podiam comprar este malware para atingir os utilizadores do macOS. No final de setembro, o CPR identificou uma nova versão do Banshee, não detetada, com uma particularidade interessante: os seus criadores tinham “roubado” um algoritmo de encriptação de cadeias de caracteres do motor antivírus XProtect da própria Apple, que substituiu as cadeias de texto simples utilizadas na versão original.
Este passo permitiu provavelmente que o Banshee escapasse à deteção pelos motores antivírus durante mais de dois meses. Durante este tempo, os agentes da ameaça distribuíram o malware através de sites de phishing e repositórios maliciosos do GitHub, fazendo-se passar por ferramentas de software populares como o Chrome, Telegram e TradingView.
As operações do Banshee sofreram uma reviravolta significativa em novembro de 2024, quando o seu código-fonte foi divulgado em fóruns clandestinos de XSS e foi encerrado ao público. Esta fuga não só expôs o seu funcionamento interno, como também levou a uma melhor deteção pelos motores antivírus. Embora esta fuga tenha levado a uma melhor deteção por parte dos motores antivírus, também suscitou preocupações quanto ao desenvolvimento de novas variantes por outros atores.
Como funciona o Banshee Stealer?
A funcionalidade do Banshee Stealer revela a sofisticação por trás do malware moderno. Uma vez instalado:
- Rouba dados do sistema: Tem como alvo navegadores como Chrome, Brave, Edge e Vivaldi, juntamente com extensões de navegador para carteiras de criptomoedas. Também explora uma extensão de autenticação de dois factores (2FA) para capturar credenciais confidenciais. Além disso, recolhe detalhes de software e hardware, endereços IP externos e palavras-passe do macOS.
- Engana os utilizadores: Utiliza pop-ups convincentes concebidos para se parecerem com avisos legítimos do sistema para induzir os utilizadores a introduzir as suas palavras-passe do macOS.
- Evita a deteção: Emprega técnicas anti-análise para evitar ferramentas de depuração e mecanismos antivírus.
- Exfiltração de dados: Envia informações roubadas para servidores de comando e controlo através de ficheiros encriptados e codificados.
Os agentes da ameaça utilizaram os repositórios do GitHub como método de distribuição chave para o Banshee. Estas campanhas visavam os utilizadores do macOS com o Banshee, ao mesmo tempo que visavam os utilizadores do Windows com um malware diferente, embora já conhecido, chamado Lumma Stealer. Ao longo de três vagas, foram criados repositórios maliciosos para se fazerem passar por software popular e levar os utilizadores a descarregar o malware. Estes repositórios pareciam muitas vezes legítimos, com estrelas e críticas para criar confiança antes de lançarem as suas campanhas maliciosas.
Porque é que isto é importante para as empresas?
As empresas têm de reconhecer os riscos mais amplos colocados pelo malware moderno, incluindo as dispendiosas violações de dados que comprometem informações sensíveis e prejudicam a reputação, os ataques direcionados a carteiras de criptomoedas que ameaçam os ativos digitais e as perturbações operacionais causadas por malware furtivo que escapa à deteção e causa danos a longo prazo antes de ser identificado.
Lições a retirar do Banshee Stealer
O sucesso do Banshee sublinha a natureza evolutiva das ciberameaças e a necessidade de defesas robustas. Desde que o seu código-fonte foi divulgado em novembro de 2024, a operação do Banshee Stealer-as-a-service foi oficialmente encerrada. No entanto, o CPR identificou várias campanhas que ainda estão a distribuir o malware através de sites de phishing. Ainda não se sabe se estas campanhas estão a ser levadas a cabo por clientes anteriores ou pelo grupo privado do autor.
Uma atualização significativa na última versão do Banshee é a remoção da verificação do idioma russo. As versões anteriores do malware terminavam as operações se detetassem o idioma russo, provavelmente para evitar visar regiões específicas. A remoção desta funcionalidade indica uma expansão dos potenciais alvos do malware.
À medida que os cibercriminosos continuam a inovar, as soluções de segurança têm de evoluir em paralelo para proporcionar uma proteção abrangente. Tanto as empresas como os utilizadores devem tomar medidas proativas para se defenderem contra as ameaças, tirando partido de ferramentas avançadas e promovendo uma cultura de precaução e sensibilização.
A Check Point Research continua empenhada em descobrir e mitigar estes riscos. Ao manterem-se informadas e ao investirem em medidas robustas de cibersegurança, as organizações podem proteger os seus dados e manter a resiliência face a estas ameaças.