बैन्शी मैकओएस इन्फोस्टीलर के एक संस्करण को एप्पल के इन-हाउस एल्गोरिदम से कॉपी किए गए नए स्ट्रिंग एन्क्रिप्शन के साथ डिटेक्शन सिस्टम को धोखा देते हुए देखा गया।
चेक प्वाइंट के एक शोध में, जिसने दो महीने की सफल चोरी के बाद इस वैरिएंट को पकड़ा, कहा गया कि धमकी देने वाले अभिनेताओं ने फ़िशिंग वेबसाइटों और नकली GitHub रिपॉजिटरी का उपयोग करके Banshee को वितरित किया, जो अक्सर Google Chrome, Telegram और Trading View जैसे लोकप्रिय सॉफ़्टवेयर का प्रतिरूपण करते थे।
मेनलो सिक्योरिटी के साइबरसिक्यूरिटी विशेषज्ञ, एनगोक बुई ने कहा कि नया संस्करण मैक सुरक्षा में एक महत्वपूर्ण अंतर को उजागर करता है। उन्होंने कहा, “जबकि कंपनियाँ तेजी से Apple पारिस्थितिकी तंत्र को अपना रही हैं, सुरक्षा उपकरण गति नहीं पकड़ पाए हैं।” “यहां तक कि प्रमुख EDR समाधानों में भी मैक पर सीमाएँ हैं, जिससे संगठनों को महत्वपूर्ण अंधे स्थान मिलते हैं। हमें सुरक्षा के लिए एक बहु-स्तरीय दृष्टिकोण की आवश्यकता है, जिसमें मैक वातावरण पर अधिक प्रशिक्षित शिकारी शामिल हैं।”
यह मैलवेयर ब्राउज़र क्रेडेंशियल्स, क्रिप्टोकरेंसी वॉलेट्स और अन्य संवेदनशील डेटा चुराने के लिए जाना जाता है।
Apple की अपनी तकनीक को उसके खिलाफ खड़ा करना
चेकप्वाइंट के शोधकर्ताओं ने एप्पल के एक्सप्रोटेक्ट इंजन से चुराए गए स्ट्रिंग एन्क्रिप्शन एल्गोरिदम का उपयोग करके नए बैन्शी संस्करण को खोजा, जिसने संभवतः इसे दो महीने से अधिक समय तक पता न चलने की क्षमता प्रदान की।
मूल संस्करण में सादे टेक्स्ट स्ट्रिंग के उपयोग को छोड़कर, नए संस्करण में एप्पल के स्ट्रिंग एन्क्रिप्शन की नकल की गई है, जिसका उपयोग URL, कमांड और संवेदनशील डेटा को एन्क्रिप्ट करने के लिए किया जा सकता है, ताकि वे स्थैतिक विश्लेषण उपकरणों द्वारा पढ़े या पहचाने न जा सकें, जिनका उपयोग एंटीवायरस सिस्टम ज्ञात दुर्भावनापूर्ण हस्ताक्षरों को स्कैन करने के लिए करते हैं।
कीपर सिक्योरिटी के मुख्य सूचना सुरक्षा अधिकारी जेम्स स्कोबे ने कहा, “जब हमलावर अपनी तकनीकों को परिष्कृत कर रहे हैं, जिसमें मूल सुरक्षा उपकरणों से प्रेरित एन्क्रिप्शन विधियों का लाभ उठाना शामिल है, तो यह स्पष्ट है कि व्यवसाय अब प्लेटफ़ॉर्म सुरक्षा के बारे में विरासत की धारणाओं पर भरोसा नहीं कर सकते हैं।” “बैंशी स्टीलर जैसे परिष्कृत मैलवेयर पारंपरिक सुरक्षा को दरकिनार कर सकते हैं, चोरी किए गए क्रेडेंशियल्स और उपयोगकर्ता की त्रुटियों का लाभ उठा सकते हैं।”
Banshee 2.0
चेक प्वाइंट अनुसंधान ने इस संस्करण में एक और महत्वपूर्ण अंतर देखा है, वह यह कि संस्करण में रूसी भाषा की जांच हटा दी गई है, जो सम्भवतः नए स्वामित्व और विस्तारित परिचालन का संकेत देता है।
शोधकर्ताओं ने एक ब्लॉग पोस्ट में कहा, “पिछले मैलवेयर संस्करणों ने रूसी भाषा का पता चलने पर परिचालन बंद कर दिया था, संभवतः विशिष्ट क्षेत्रों को लक्षित करने से बचने के लिए। ” “इस सुविधा को हटाने से मैलवेयर के संभावित लक्ष्यों में विस्तार का संकेत मिलता है।”
Banshee macOS Stealer ने 2024 के मध्य में ध्यान आकर्षित किया, जिसे XSS, Exploit और Telegram जैसे मंचों पर “stealer-as-a-service” के रूप में प्रचारित किया गया। मैकओएस उपयोगकर्ताओं को लक्षित करने के लिए धमकी देने वाले अभिनेता इसे $3,000 में खरीद सकते थे।
हालांकि, नवंबर 2024 में, Banshee के संचालन में तब बड़ा बदलाव आया जब इसका सोर्स कोड XSS फ़ोरम पर लीक हो गया, जिसके कारण इसे सार्वजनिक रूप से बंद कर दिया गया। इस लीक से एंटीवायरस डिटेक्शन में सुधार हुआ, लेकिन अन्य अभिनेताओं द्वारा विकसित किए जा रहे नए वेरिएंट के बारे में चिंताएँ पैदा हुईं।