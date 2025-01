I ricercatori di Check Point Research hanno individuato una nuova versione di Banshee, noto infostealer per macOS, che sfrutta lo stesso algoritmo crittografico di XProtect per evitare la rilevazione. Il malware può quindi agire (quasi) indisturbato e rubare numerosi dati degli utenti.

Banshee “copia” Apple XProtect

Banshee è stato scoperto per la prima volta a metà 2024. Viene venduto come “stealer-as-a-service” a 3.000 dollari. La nuova versione, scoperta a fine settembre 2024, utilizza il codice dell’algoritmo crittografico di Apple XProtect, l’antivirus integrato in macOS. Ciò ha permesso di non essere rilevato per circa due mesi (fino a novembre), quando il suo codice sorgente è stato pubblicato su un forum.

Nel frattempo, il malware è stato distribuito tramite siti di phishing e repository di GitHub, camuffato da app legittime, tra cui Chrome, Telegram e TradingView. Gli stessi cybercriminali hanno colpito gli utenti Windows con Lumma Stealer. Una volta installato dalle ignare vittime, Banshee inizia a raccogliere un numero infinito di dati.

Il malware può rubare informazioni da vari browser (Chrome, Edge, Brave, Vivaldi e altri), estensioni per wallet di criptovalute, estensioni per autenticazione in due fattori. Può inoltre accedere ai dati del computer, all’indirizzo IP e alle password di macOS. In quest’ultimo caso mostra pop-up di login simili a quelli reali.

Tutti i dati raccolti sono inviati a server C2C (command-and-control). Gli utenti devono installare gli ultimi aggiornamenti per sistema operativo e applicazioni, evitando anche di cliccare sui link presenti nelle email che portano a siti di phishing.