Banshee Stealer: el peligroso malware para macOS que roba datos a través de extensiones de navegador
En este mes de agosto se ha detectado un nuevo y sofisticado malware dirigido específicamente a sistemas de Apple. Apodado «Banshee Stealer», este peligroso malware ha sido descubierto por investigadores y ya se ha convertido en una seria amenaza para los usuarios de macOs.
Elastic Security Labs, el equipo que descubrió este malware, ha advertido que macOS se está convirtiendo en un objetivo cada vez más atractivo para los ciberdelincuentes. A medida que más usuarios adoptan dispositivos Apple y el ecosistema de macOS crece, también lo hace el interés de los atacantes en esta plataforma.
¿Qué es Banshee Stealer?
Banshee Stealer es un malware diseñado para robar información confidencial de los usuarios de macOS. A diferencia de otros tipos de malware que pueden afectar varios sistemas operativos, Banshee Stealer se ha creado específicamente para atacar dispositivos que ejecutan macOS. Su desarrollo está vinculado a ciberdelincuentes rusos, y se comercializa en foros clandestinos del cibercrimen por un precio de aproximadamente 3.000 euros al mes, lo que resalta su peligrosidad y su perfil de alto valor en el mercado negro.
Este malware funciona en arquitecturas x86_64 y ARM64, lo que significa que puede comprometer tanto los dispositivos más antiguos de macOS como los más recientes basados en chips Apple Silicon. Esta flexibilidad lo convierte en una amenaza considerable para un amplio espectro de usuarios de Apple.
Objetivos del malware: navegadores y carteras de criptomonedas
Una de las características más importantes de Banshee Stealer es su capacidad para apuntar a una amplia gama de navegadores web, incluidos algunos de los más utilizados como Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera y OperaGX. Al comprometer estos navegadores, el malware puede robar credenciales de inicio de sesión, cookies, historiales de navegación y otros datos sensibles almacenados en ellos.
Además de los navegadores, Banshee Stealer también se dirige a las carteras de criptomonedas, una tendencia cada vez más común entre los ciberdelincuentes debido al auge de las criptomonedas. Las billeteras afectadas incluyen Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic y Ledger. Este tipo de ataques puede resultar muy perjudicial para los usuarios que almacenan criptomonedas, ya que una vez comprometidas, las transacciones en la cadena de bloques son irreversibles, lo que significa que los fondos robados no se pueden recuperar.
Técnicas de robo y evasión
Banshee Stealer se destaca por su uso de técnicas avanzadas para robar información de manera efectiva y, al mismo tiempo, evadir la detección. El malware está equipado para recopilar información del sistema, incluidos datos sensibles de iCloud Keychain, como notas y contraseñas. Además, aprovecha osascript para mostrar una solicitud de contraseña falsa que engaña a los usuarios para que ingresen sus credenciales del sistema, lo que permite al malware escalar privilegios y obtener un mayor control sobre el dispositivo.
Otra de las funcionalidades del malware es su capacidad para recopilar archivos específicos con extensiones como .txt, .docx, .rtf, .doc, .wallet, .keys y .key desde las carpetas Escritorio y Documentos del usuario. Estos archivos se extraen en formato ZIP y se envían a un servidor remoto, donde los ciberdelincuentes pueden acceder a ellos y utilizarlos para diversos fines maliciosos, como robo de identidad, extorsión o fraude financiero.
Medidas que evitan ser detectado
Banshee Stealer también incluye medidas antianálisis y antidepuración que le permiten evitar ser detectado por software de seguridad y análisis forense. Utiliza técnicas para determinar si está siendo ejecutado en un entorno virtual, lo que es común en laboratorios de ciberseguridad que intentan estudiar su comportamiento. Si detecta que está en un entorno de análisis, el malware puede cambiar su comportamiento o incluso detener su ejecución para evitar ser capturado y analizado.
Además, emplea la API CFLocaleCopyPreferredLanguages para identificar el idioma principal del sistema. Si el idioma principal es ruso, el malware evita infectar el sistema, una táctica que sugiere que sus desarrolladores rusos prefieren no atacar a usuarios de su propio país, lo que es una práctica usual entre ciertos grupos de ciberdelincuentes.
FUENTE: Banshee stealer: El peligroso malware para MacOs que roba datos a través de extensiones de navegador
En este mes de agosto se ha detectado un nuevo y sofisticado malware dirigido específicamente a sistemas de Apple. Apodado «Banshee Stealer», este peligroso malware ha sido descubierto por investigadores y ya se ha convertido en una seria amenaza para los usuarios de macOs.
Elastic Security Labs, el equipo que descubrió este malware, ha advertido que macOS se está convirtiendo en un objetivo cada vez más atractivo para los ciberdelincuentes. A medida que más usuarios adoptan dispositivos Apple y el ecosistema de macOS crece, también lo hace el interés de los atacantes en esta plataforma.
¿Qué es Banshee Stealer?
Banshee Stealer es un malware diseñado para robar información confidencial de los usuarios de macOS. A diferencia de otros tipos de malware que pueden afectar varios sistemas operativos, Banshee Stealer se ha creado específicamente para atacar dispositivos que ejecutan macOS. Su desarrollo está vinculado a ciberdelincuentes rusos, y se comercializa en foros clandestinos del cibercrimen por un precio de aproximadamente 3.000 euros al mes, lo que resalta su peligrosidad y su perfil de alto valor en el mercado negro.
Este malware funciona en arquitecturas x86_64 y ARM64, lo que significa que puede comprometer tanto los dispositivos más antiguos de macOS como los más recientes basados en chips Apple Silicon. Esta flexibilidad lo convierte en una amenaza considerable para un amplio espectro de usuarios de Apple.
Objetivos del malware: navegadores y carteras de criptomonedas
Una de las características más importantes de Banshee Stealer es su capacidad para apuntar a una amplia gama de navegadores web, incluidos algunos de los más utilizados como Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera y OperaGX. Al comprometer estos navegadores, el malware puede robar credenciales de inicio de sesión, cookies, historiales de navegación y otros datos sensibles almacenados en ellos.
Además de los navegadores, Banshee Stealer también se dirige a las carteras de criptomonedas, una tendencia cada vez más común entre los ciberdelincuentes debido al auge de las criptomonedas. Las billeteras afectadas incluyen Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic y Ledger. Este tipo de ataques puede resultar muy perjudicial para los usuarios que almacenan criptomonedas, ya que una vez comprometidas, las transacciones en la cadena de bloques son irreversibles, lo que significa que los fondos robados no se pueden recuperar.
Técnicas de robo y evasión
Banshee Stealer se destaca por su uso de técnicas avanzadas para robar información de manera efectiva y, al mismo tiempo, evadir la detección. El malware está equipado para recopilar información del sistema, incluidos datos sensibles de iCloud Keychain, como notas y contraseñas. Además, aprovecha osascript para mostrar una solicitud de contraseña falsa que engaña a los usuarios para que ingresen sus credenciales del sistema, lo que permite al malware escalar privilegios y obtener un mayor control sobre el dispositivo.
Otra de las funcionalidades del malware es su capacidad para recopilar archivos específicos con extensiones como .txt, .docx, .rtf, .doc, .wallet, .keys y .key desde las carpetas Escritorio y Documentos del usuario. Estos archivos se extraen en formato ZIP y se envían a un servidor remoto, donde los ciberdelincuentes pueden acceder a ellos y utilizarlos para diversos fines maliciosos, como robo de identidad, extorsión o fraude financiero.
Medidas que evitan ser detectado
Banshee Stealer también incluye medidas antianálisis y antidepuración que le permiten evitar ser detectado por software de seguridad y análisis forense. Utiliza técnicas para determinar si está siendo ejecutado en un entorno virtual, lo que es común en laboratorios de ciberseguridad que intentan estudiar su comportamiento. Si detecta que está en un entorno de análisis, el malware puede cambiar su comportamiento o incluso detener su ejecución para evitar ser capturado y analizado.
Además, emplea la API CFLocaleCopyPreferredLanguages para identificar el idioma principal del sistema. Si el idioma principal es ruso, el malware evita infectar el sistema, una táctica que sugiere que sus desarrolladores rusos prefieren no atacar a usuarios de su propio país, lo que es una práctica usual entre ciertos grupos de ciberdelincuentes.
FUENTE: Banshee stealer: El peligroso malware para MacOs que roba datos a través de extensiones de navegador
Otros posts
La monitorización proactiva de sistemas informáticos
La monitorización proactiva de sistemas informáticos Cuando hablamos de servicios informáticos, uno de los temas que genera mayor interés es cómo las empresas pueden mejorar sus sistemas y prevenir problemas antes de que [...]
Distribución de malware mediante la suplantación de la Fábrica Nacional de Moneda y Timbre simulando el envío de tu certificado digital
Distribución de malware mediante la suplantación de la Fábrica Nacional de Moneda y Timbre simulando el envío de tu certificado digital Recursos Afectados Cualquier persona que haya recibido el correo electrónico descrito en [...]
Cómo tu audiencia puede impulsar tu marca
Cómo tu audiencia puede impulsar tu marca En la era digital, las redes sociales han cambiado por completo la forma en que las marcas se comunican con su público. Ya no se trata [...]
La monitorización proactiva de sistemas informáticos
La monitorización proactiva de sistemas informáticos Cuando hablamos de servicios informáticos, uno de los temas que genera mayor interés es cómo las empresas pueden mejorar sus sistemas y prevenir problemas antes de que [...]
Distribución de malware mediante la suplantación de la Fábrica Nacional de Moneda y Timbre simulando el envío de tu certificado digital
Distribución de malware mediante la suplantación de la Fábrica Nacional de Moneda y Timbre simulando el envío de tu certificado digital Recursos Afectados Cualquier persona que haya recibido el correo electrónico descrito en [...]
Cómo tu audiencia puede impulsar tu marca
Cómo tu audiencia puede impulsar tu marca En la era digital, las redes sociales han cambiado por completo la forma en que las marcas se comunican con su público. Ya no se trata [...]
Leave A Comment