Há muito que os sistemas baseados em MacOS deixaram de ser os ‘parentes pobres’ dos cibercriminosos, que durante anos apostaram sobretudo na criação de malware (leia-se vírus) para ambientes Windows.
Hoje, vários dos perigos que surgem online são mesmo agnósticos em relação aos sistemas operativos e o despontar das versões ‘as a service’ de malware, prontas a adquirir na dark web e a usar para ataques específicos, permitem visar qualquer sistema operativo com mais facilidade.
É o que a Elastic Security Labs refere no seu relatório de segurança mais recente, ao descrever um novo malware do tipo ‘stealer’ - criado para entrar, de forma silenciosa, nos sistemas e visar informação valiosa, incluindo credenciais de login, detalhes de pagamento e dados pessoais.
Mais de 100 extensões em perigo
De acordo com o The Hacker News, o novo malware é designado por Banshee Stealer e foi desenvolvido para atingir especificamente sistemas MacOS, em concreto MacOS x86_64 e arquiteturas ARM64.
A empresa Elastic Security Lab refere que o novo malware terá sido desenvolvido por cibercriminosos russos e está a ser disponibilizado ‘no submundo do cibercrime’ por cerca de $3.000 dólares mensais.
"O Banshee Stealer tem como alvo uma ampla gama de browsers, wallets de criptomoedas e cerca de 100 extensões de browsers, tornando-o numa ameaça altamente versátil e perigosa" alerta o relatório.
Entre as aplicações visadas por este malware destacam-se o Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic e Ledger.
Modo de funcionamento inteligente
A Elastic Security Lab indica que o Banshee Stealer é capaz de recolher informações do sistema e dados das passwords guardados no iCloud Keychain e nas Notas, além de integrar processos para determinar se está a ser detetado durante a sua execução.
Entre as suas capacidades está a recolha de dados em ficheiros com extensões .txt, .docx, .rtf, .doc, .wallet, .keys e .key nas pastas Desktop e Documents. Os dados coletados são depois exfiltrados num arquivo ZIP para um servidor remoto.
Por outro lado, este malware utiliza a API CFLocaleCopyPreferredLanguages, que basicamente permite evitar a infeção de sistemas em que o idioma principal é o russo.
Por fim, o relatório da Elastic Security Lab destaca que, à semelhança de outro malware para MacOS, como o Cuckoo e o MacStealer, o Banshee Stealer também vai aproveitar o utilitário ‘osascript’ para exibir um prompt de passwords falsas, de forma a levar os utilizadores a escrever os as suas passwords de sistema para aumento dos privilégios de acesso.
