Numa altura em que o macOS continua a ganhar popularidade, com mais de 100 milhões de utilizadores em todo o mundo, também se está a tornar um alvo cada vez mais atrativo para os cibercriminosos. Apesar da sua reputação como um sistema operativo seguro, o aumento de ameaças sofisticadas como o Banshee MacOS Stealer realça a importância da vigilância e de medidas proativas de cibersegurança.

A equipa de investigação da Check Point Software Technologies Ltd., tem vindo a monitorizar este malware emergente, que visa os utilizadores do macOS. O que é que as empresas e os utilizadores precisam de saber?

Quando as suposições de segurança são insuficientes

Muitos utilizadores do macOS assumem que a arquitetura baseada em Unix e a quota de mercado historicamente mais baixa da plataforma a tornam um alvo menos atrativo para os cibercriminosos e, por conseguinte, imune a malware. Embora o macOS inclua funcionalidades de segurança robustas como o Gatekeeper, XProtect e sandboxing, a ascensão do Banshee stealer serve para lembrar que nenhum sistema operativo está imune a ameaças.

Este malware furtivo não se infiltra apenas; opera sem ser detetado, misturando-se perfeitamente com os processos normais do sistema enquanto rouba credenciais do navegador, carteiras de criptomoedas, palavras-passe de utilizadores e dados de ficheiros sensíveis. O que torna o Banshee verdadeiramente alarmante é a sua capacidade de evitar a deteção. Mesmo os profissionais de TI experientes têm dificuldade em identificar a sua presença. O Banshee stealer não é apenas mais uma peça de malware – é um aviso crítico para que os utilizadores reavaliem os seus pressupostos de segurança e tomem medidas proativas para salvaguardar os seus dados.

A evolução do Banshee Stealer: Uma nova espécie de ameaça

O Banshee MacOS Stealer chamou a atenção do público pela primeira vez em meados de 2024, anunciado como um “stealer-as-a-service” em fóruns clandestinos, como XSS e Exploit, e Telegram. Por 3.000 dólares, os agentes de ameaças podiam comprar este malware para atingir os utilizadores do macOS. No final de setembro, o CPR identificou uma nova versão do Banshee, não detetada, com uma particularidade interessante: os seus criadores tinham “roubado” um algoritmo de encriptação de cadeias de caracteres do motor antivírus XProtect da própria Apple, que substituiu as cadeias de texto simples utilizadas na versão original.

Este passo permitiu provavelmente que o Banshee escapasse à deteção pelos motores antivírus durante mais de dois meses. Durante este tempo, os agentes da ameaça distribuíram o malware através de sites de phishing e repositórios maliciosos do GitHub, fazendo-se passar por ferramentas de software populares como o Chrome, Telegram e TradingView.

As operações do Banshee sofreram uma reviravolta significativa em novembro de 2024, quando o seu código-fonte foi divulgado em fóruns clandestinos de XSS e foi encerrado ao público. Esta fuga não só expôs o seu funcionamento interno, como também levou a uma melhor deteção pelos motores antivírus. Embora esta fuga tenha levado a uma melhor deteção por parte dos motores antivírus, também suscitou preocupações quanto ao desenvolvimento de novas variantes por outros atores.

Como funciona o Banshee Stealer?

A funcionalidade do Banshee Stealer revela a sofisticação por trás do malware moderno. Uma vez instalado:

• Rouba dados do sistema: Tem como alvo navegadores como Chrome, Brave, Edge e Vivaldi, juntamente com extensões de navegador para carteiras de criptomoedas. Também explora uma extensão de autenticação de dois factores (2FA) para capturar credenciais confidenciais. Além disso, recolhe detalhes de software e hardware, endereços IP externos e palavras-passe do macOS.
• Engana os utilizadores: Utiliza pop-ups convincentes concebidos para se parecerem com avisos legítimos do sistema para induzir os utilizadores a introduzir as suas palavras-passe do macOS.
• Evita a deteção: Emprega técnicas anti-análise para evitar ferramentas de depuração e mecanismos antivírus.
• Exfiltração de dados: Envia informações roubadas para servidores de comando e controlo através de ficheiros encriptados e codificados.

Os agentes da ameaça utilizaram os repositórios do GitHub como método de distribuição chave para o Banshee. Estas campanhas visavam os utilizadores do macOS com o Banshee, ao mesmo tempo que visavam os utilizadores do Windows com um malware diferente, embora já conhecido, chamado Lumma Stealer. Ao longo de três vagas, foram criados repositórios maliciosos para se fazerem passar por software popular e levar os utilizadores a descarregar o malware. Estes repositórios pareciam muitas vezes legítimos, com estrelas e críticas para criar confiança antes de lançarem as suas campanhas maliciosas.