Banshee StealerはXProtectを使う

Banshee Stealerは以前から多く観測されているインフォスティーラー型マルウェアです。
かつてはSaaSはSaaSでもstealer-as-a-serviceとして宣伝されていて、そのこともあり、多くの脅威アクターに注目されていました。
しかし、2024年11月を境にそのSaaSは停止しています。
どうなっているのでしょう。

• ソースの漏洩
  2024年11月にあったのは、ソースコードの漏洩でした。
  漏洩した場所はXSSアンダーグラウンドフォーラムでした。
  この漏洩により、内部の仕組みが明らかになり、ウイルス対策エンジンによる検出精度も向上しました。
  これは防御側にとって良い話です。
  しかし、その一方で、ソースコードが手に入るようになった他のマルウェアを書く人がこれを使った新しい亜種を作り出してくる事態となっています。
• 変化例の一つ：XProtectの悪用
  XProtectはmacOSに搭載されているマルウェア対処機能です。
  これはアンチウイルステクノロジーで、署名に基づいたマルウェアの検出と削除ができるものです。
  この機構の中で使われている文字列暗号化機構を悪用し、Banshee Stealerは動作に利用する内容を利用する段階まで暗号化した状態で保持します。
  これにより、アンチウイルス機構での検出の回避を狙っています。
• 変化例の一つ：標的範囲の変更
  オリジナルの開発体制でSaaSで公開されていた時点では、Banshee Stealerの動作はロシア語のチェックの機構が搭載されていて、これが検出されると動作しなくなっていました。
  しかし、SaaS公開停止状態以降に出てきた亜種の中には、この標的範囲の制限機能が外されたものが出てきています。
  元の開発者の意図は亜種の動作には反映されません。

Banshee Stealerは、しばしば偽のGitHubリポジトリを介して配布されます。
ソフトウェアのなりすましですね。
被害者環境に展開されたBanshee Stealerは、パスワード、2要素認証拡張機能、暗号通貨ウォレット拡張機能、Webブラウザ (Chrome、Brave、Edge、Vivaldi など) に保存されているデータを盗み出します。
偽のログインプロンプトを表示する機能を通じてmacOSの認証情報も盗み出します。

注目されているソフトウェアのソースコードの漏洩は大きな影響を生み出すということの一つの例でした。

Cracking the Code: How Banshee Stealer Targets macOS Users

https://blog.checkpoint.com/research/cracking-the-code-how-banshee-stealer-targets-macos-users/