{"id":4870,"date":"2024-10-10T15:23:43","date_gmt":"2024-10-10T20:23:43","guid":{"rendered":"https:\/\/estafalert.com\/2024\/10\/banshee-stealer-es-la-nueva-y-aterradora-llegada-al-mercado-de-malware-como-servicio-para-mac\/"},"modified":"2024-10-10T15:23:43","modified_gmt":"2024-10-10T20:23:43","slug":"banshee-stealer-es-la-nueva-y-aterradora-llegada-al-mercado-de-malware-como-servicio-para-mac","status":"publish","type":"post","link":"https:\/\/estafalert.com\/2024\/10\/banshee-stealer-es-la-nueva-y-aterradora-llegada-al-mercado-de-malware-como-servicio-para-mac\/","title":{"rendered":"Banshee Stealer es la nueva y aterradora llegada al mercado de malware como servicio para Mac"},"content":{"rendered":"


\n<\/p>\n

\n

malware<\/p>\n

\n

\n

Publicado en
\n

\"\"<\/p>\n

A principios de la semana pasada, surgi\u00f3 un nuevo lud\u00f3pata en el turbio mercado clandestino del malware carero para Mac. Saqueador de alma en pena<\/strong> es el malware m\u00e1s fresco que puede robar sus contrase\u00f1as, permitir que los piratas inform\u00e1ticos accedan a sus cuentas y vac\u00eden sus billeteras digitales.<\/p>\n

Aqu\u00ed encontrar\u00e1 todo lo que necesita memorizar para mantenerse a omitido de esta nueva amenaza de malware para Mac.<\/p>\n

Una breve historia del malware carero en Mac<\/h3>\n

Hemos mencionado en art\u00edculos anteriores sobre malware que, en abril de 2023, Atomic macOS Stealer (AMOS o AtomicStealer) se lanz\u00f3 como una grupo de malware centrada espec\u00edficamente en resumir y exfiltrar datos confidenciales de Mac. El actor de amenazas innovador, que se hace citar ping3r, comenz\u00f3 a venderlo a trav\u00e9s de Telegram como “malware como servicio”; es aseverar, otros actores de amenazas podr\u00edan licenciarlo, inicialmente por 1.000 d\u00f3lares al mes.<\/p>\n

Desde entonces, hemos gastado muchas variantes e imitadores de AMOS, tanto a la traspaso en el mercado indignado como en el mercado vacante. Escribimos sobre campa\u00f1as posteriores en septiembre de 2023 y febrero de 2024. En mayo, escribimos sobre una transformaci\u00f3n de carero previamente indocumentada que descubri\u00f3 el equipo de investigaci\u00f3n de Intego. Adem\u00e1s documentamos otra transformaci\u00f3n, denominada Cuco, una lectura de la cual nuestro equipo todav\u00eda desenterr\u00f3. Intego todav\u00eda fue el primero en escribir sobre un carero disfrazado de navegador Arc. A menudo hablamos de nuevas variantes de malware carero en el podcast de Intego para Mac.<\/p>\n

Muy a menudo, el malware AMOS y sus imitadores se distribuyen a trav\u00e9s de campa\u00f1as maliciosas de Google Ads<\/strong>. Estos anuncios envenenados de Google aparecen en la parte superior de los resultados de b\u00fasqueda, donde muchas personas los ver\u00e1n y har\u00e1n clic en ellos. A primera aspecto, los anuncios a menudo son indistinguibles de los anuncios leg\u00edtimos de Google publicados por las empresas de software reales que imitan. (Por lo tanto, recomendamos mirar detenidamente los resultados de la b\u00fasqueda anta\u00f1o de hacer clic y, si se comercio de un anuncio, evitar hacer clic en \u00e9l).<\/p>\n

Imitadores notables de AMOS<\/strong><\/h4>\n

Singular del mencionado Cuckoo, cierto diferente de ping3r ha desarrollado un pu\u00f1ado de imitadores o ramificaciones de AMOS. Un desarrollador de clones de AMOS que se hac\u00eda citar alh1meg aparentemente desarroll\u00f3 un carero llamado ALH1MIK.<\/p>\n

Un imitador de AMOS m\u00e1s conocido es Poseid\u00f3n, que fue desarrollado por Rodrigo4; escribimos sobre ello en julio. Seg\u00fan ping3r, Rodrigo4 fue uno de los cuatro codificadores originales que desarrollaron AMOS. Supuestamente, Rodrigo4 vendi\u00f3 Poseidon a otro actor de amenazas a principios de este mes por 83.000 d\u00f3lares en Bitcoin.<\/p>\n

Poco a posteriori de la traspaso de Poseidon, 0xe1 Saqueador de alma en pena<\/strong> entr\u00f3 en imagen. Parece estar en expansi\u00f3n proporcionado activo; Seg\u00fan se informa, esta semana fue reescrito en Objective-C.<\/p>\n

\u00bfQu\u00e9 hace Banshee Stealer?<\/h3>\n

Como es pintoresco del malware de robo de Mac, Banshee Stealer recopila y exfiltra los archivos de las v\u00edctimas. contrase\u00f1as, cookies, historial del navegador y datos de autocompletar, y billeteras de criptomonedas<\/strong>. Adem\u00e1s recoge los datos de las v\u00edctimas. Apple Notes, documentos de Microsoft Word y claves de enigm\u00e1tico<\/strong>.<\/p>\n

Banshee Stealer evita ejecutarse en Mac con el ruso configurado como idioma principal. Luego de resumir todos los datos espec\u00edficos, filtra la informaci\u00f3n de las v\u00edctimas a un servidor que parece estar situado en Rusia, seg\u00fan su direcci\u00f3n IP.<\/p>\n

\u00bfPor qu\u00e9 el malware carero recopila cookies?<\/strong><\/h4>\n

Quiz\u00e1s cuestione la utilidad de resumir cookies del navegador. Luego de todo, las cookies tienen triunfo de ser una \u00fatil de seguimiento, gracias al exageraci\u00f3n hist\u00f3rico de las cookies de terceros. Pero los sitios suelen utilizar cookies con fines leg\u00edtimos, por ejemplo, para juntar las preferencias de su sitio (como modo claro u umbroso, temas, idioma predeterminado, etc.).<\/p>\n

La mayor\u00eda de las personas no saben que las cookies todav\u00eda pueden comportarse como un m\u00e9todo de autenticaci\u00f3n de proxy para permanecer la sesi\u00f3n iniciada en un sitio. Por lo tanto, al obtener las cookies de sesi\u00f3n de una v\u00edctima, un atacante a menudo puede evitar la privaci\u00f3n de conocer el nombre de sucesor y la contrase\u00f1a de la v\u00edctima, e incluso puede evitar cualquier autenticaci\u00f3n de dos factores que haya recaudador.<\/p>\n

Una vez que obtienen golpe a las cuentas de las v\u00edctimas, los atacantes podr\u00edan hacer una variedad de cosas nefastas; por ejemplo, podr\u00edan hacerse acontecer por v\u00edctimas en las redes sociales o remitir mensajes privados o correos electr\u00f3nicos a amigos, familiares y colegas de las v\u00edctimas. Los contactos de una v\u00edctima podr\u00edan convertirse en v\u00edctimas secundarias si son v\u00edctimas de estafas o enlaces maliciosos que aparentemente provienen de su amigo.<\/p>\n

\u00bfC\u00f3mo puedo permanecer mi Mac a omitido del malware carero?<\/h3>\n

Si utilizas Intego VirusBarrier, ya est\u00e1s protegido contra este malware. Intego detecta estas muestras como OSX\/BansheeStealer<\/strong>, OSX\/Downloader.go<\/strong>, virus\/OSX\/AVI.Agent.bbye<\/strong>y nombres similares.<\/p>\n

\"CajasIntego VirusBarrier X9, incluido con Paquete Premium Mac X9 de Intego<\/strong>es una potente soluci\u00f3n dise\u00f1ada para proteger, detectar y eliminar el malware de Mac.<\/p>\n

Si cree que su Mac puede estar infectada, o para evitar futuras infecciones, es mejor utilizar un software antivirus de un desarrollador de Mac de confianza. VirusBarrier es un software antivirus galardonado, dise\u00f1ado por expertos en seguridad de Mac, que incluye protecci\u00f3n en tiempo real. Se ejecuta de forma nativa en Mac basadas en silicio Intel y Apple, y es compatible con el sistema operativo Mac actual de Apple, macOS Sonoma.<\/p>\n

Una de las caracter\u00edsticas \u00fanicas de VirusBarrier es que puede buscar archivos maliciosos en un iPhone, iPad o iPod touch en \u00e1reas del dispositivo accesibles para el usuario. Simplemente conecte su dispositivo iOS o iPadOS a su Mac mediante un cable USB y abra VirusBarrier.<\/p>\n

Si utiliza una PC con Windows, Antivirus Intego para Windows<\/strong> puede mantener su computadora protegida contra malware.<\/p>\n

Indicadores de compromiso (IOC)<\/h3>\n

A continuaci\u00f3n se muestran hashes SHA-256 de muestras de malware de esta campa\u00f1a:<\/p>\n

00284601ed89be5b44d9a4219f7ee271dfd68186937b41a26c283a6a129e7a28
\n03edcd7ad527fc90ea913eb76f74d12b111c1ed3a8dd6fd5f73fc2437aff3385
\n04a926b98c7d7e6b85916ef9dbb0e9068df318c399b696c04fbdfa3f0f591a21*
\n11aa6eeca2547fcf807129787bec0d576de1a29b56945c5a8fb16ed8bf68f782
\n653e769b11784a71e184ae145d3ba4447e332dabccb5958508edaf96f6f80d1b*
\n66eae1df6dedd0ad5dee7d6eaed8eb3e1edd93c5bb5cc54204f48506466a844a*
\n7210ce47323d4bdeb99bd27b22f00099000c473a04048e2c90576f81d1194647
\n7a6c0b683961869fc159bf8da1b4c86bc190ee07b0ad5eb09f99deaac4db5c69
\n92791b72b06e7d1eddd796c2afed565391a451d5daee5cc5083b86477acba8db
\n95b554f13d27126d04504cf35da185f572cfd6497cd86d6be0f21eb98fc4c75c
\na1e36c1b872fa4b2f39ff497a6c597769044e6275e0bb1ca1c1c9ae94a32cf80
\nb2a5b16d6c36cf6f50c0fabada8ceb5d1973af2bd7f8c9194f1f19b4efb0bd4f
\nd556042c8a77ba52d39e211f208a27fe52f587047140d9666bbeca6032eae604*
\n*first reported by Intego<\/pre>\n
Esta campa\u00f1a de malware aprovecha los siguientes dominios y direcciones IP:<\/p>\n
banshee-stealer[.]com
\nycf6a3d4lbdfksa3pvpe2xozacvb42fpttn3kah4bqt7txr3dxgwxpad[.]onion
\n45.142.122[.]92
\n154.216.18[.]135<\/pre>\n
Los administradores de red pueden verificar los registros para intentar identificar si alguna computadora pudo haber intentado contactar estos dominios o IP en las \u00faltimas semanas, lo que podr\u00eda indicar una posible infecci\u00f3n.<\/p>\n
Banshee Stealer coloca una carga \u00fatil maliciosa de AppleScript en la siguiente ruta:<\/p>\n
\/tmp\/tempAppleScript.scpt<\/pre>\n
Este archivo debe eliminarse si se encuentra en una Mac infectada.<\/p>\n
\u00bfLos proveedores de seguridad detectan esto con otros nombres?<\/h3>\n
Los nombres de otros proveedores de antivirus para este malware pueden incluir variaciones de lo siguiente:<\/p>\n
Gen:Variant.Trojan.MAC.Stealer.45 (B), HEUR:Trojan-PSW.OSX.Amos.w, IOS\/ABApplication.EC, IOS\/ABApplication.SYS, Mac.PWS.Stealer.4, MacOS\/ABApplication .DHO, MacOS\/ABTrojan.BMVB-, MacOS\/ABTrojan.MKKD-, MacOS\/ABTrojan.MVKB-, MacOS\/ABTrojan.NDDU-, Malware.OSX\/Agent.ymgcy, Malware.OSX\/AVF.Agent.ladbk, Malware .OSX\/AVI.Agent.bbyeq, Malware.OSX\/AVI.Agent.gouso, Osx.Trojan-QQPass.QQRob.Dflw, Osx.Trojan-QQPass.QQRob.Fkjl, Osx.Trojan-QQPass.QQRob.Hjgl, Osx .Trojan-QQPass.QQRob.Kqil, Osx.Trojan-QQPass.QQRob.Kzfl, Osx.Trojan-QQPass.QQRob.Nzfl, Osx.Trojan-QQPass.QQRob.Ozfl, Osx.Trojan-QQPass.QQRob.Rgil, Osx .Trojan-QQPass.QQRob.Sgil, Osx.Trojan-QQPass.QQRob.Vimw, Osx.Trojan-QQPass.QQRob.Xtjl, OSX.Trojan.Gen.2, OSX\/Agent.CC!tr.pws, OSX\/Agent .ymgcy, OSX\/AVF.Agent.ladbk, OSX\/AVI.Agent.bbyeq, OSX\/AVI.Agent.gouso, OSX\/InfoStl-DP, OSX\/PSW.Agent.CC, Otros:Malware-gen [Trj]PossibleThreat, TR\/Agent.fplgz, TR\/Agent.hkgkp, TR\/Agent.hqnuk, TR\/Agent.pksuz, TR\/Agent.slkgx, TR\/Agent.xzqbb, TR\/Agent.yscrf, troyano (0040f5111), troyano -Spy.OSX.BansheeStealer, Trojan:MacOS\/Amos.AO!MTB, Trojan:MacOS\/Multiverze, Trojan.Agent, Trojan.MAC.Generic.119790 (B), Trojan.MAC.Generic.119791 (B), Trojan .MAC.Generic.119793 (B), Trojan.MAC.Generic.119795 (B), Trojan.MAC.Generic.D1D3EE, Trojan.MAC.Generic.D1D3EF, Trojan.MAC.Generic.D1D3F1, Trojan.MAC.Generic .D1D3F3, Trojan.OSX.Amos.i!c, Trojan.OSX.Psw, Trojan.OSX.Stealer, Trojan.TR\/Agent.fplgz, Trojan.TR\/Agent.hkgkp, Trojan.TR\/Agent.hqnuk, Trojan .TR\/Agent.pksuz, Trojan.TR\/Agent.slkgx, Trojan.TR\/Agent.xzqbb, Trojan.TR\/Agent.yscrf, Trojan.Trojan.MAC.Stealer.45, Trojan[stealer]:MacOS\/Amos.AP8PHU, troyano[stealer]:MacOS\/Amos.w, troyano[stealer]:MacOS\/Multiverze.Gen, Trojan\/Generic!14B160E67D415427, Trojan\/Generic!8E8865F4CCCB0349, Trojan\/OSX.Agent.920200, TrojanSpy\/OSX.Stealer.k, UDS:Trojan-PSW.OSX.Amos.w, WS.Malware .1<\/span><\/p>\n
\u00bfC\u00f3mo puedo aprender m\u00e1s?<\/h3>\n
Para obtener m\u00e1s detalles t\u00e9cnicos sobre este malware, puede leer el art\u00edculo de Elastic informe y mire el v\u00eddeo de L0psec Reversing.<\/p>\n
Intego tambi\u00e9n quiere agradecer a Alex Kleber[1][2][3]DefSecSentinel[1][2]Karol Paciorek, L0Psec, Phil Stokes y Victor Kubashok por sus contribuciones p\u00fablicas a la investigaci\u00f3n de esta amenaza.<\/p>\n
\"\"Cada semana en el Podcast de Intego para Mac<\/strong>Los expertos en seguridad de Mac de Intego analizan las \u00faltimas noticias de Apple, incluidas historias de seguridad y privacidad, y ofrecen consejos pr\u00e1cticos para aprovechar al m\u00e1ximo sus dispositivos Apple. Aseg\u00farate de sigue el podcast<\/strong> para asegurarte de no perderte ning\u00fan episodio.<\/p>\n
Tambi\u00e9n puedes suscribirte a nuestro bolet\u00edn de correo electr\u00f3nico<\/strong> y mantente atento aqu\u00ed El blog de seguridad de Mac<\/strong> para conocer las \u00faltimas noticias sobre seguridad y privacidad de Apple. Y no olvides seguir a Intego en tus canales de redes sociales favoritos: \"Sigue \"Sigue \"Sigue \"Sigue \"Sigue \"Sigue \"Siga<\/p>\n
Cr\u00e9dito de la imagen: Banshee de Michelle Monique (CC BY-SA 3.0)<\/span><\/p>\n
\"\" <\/p>\n
Acerca de Joshua Long<\/h3>\n
Josu\u00e9 Long<\/b> (@elJoshMeister<\/a>), analista caudillo de seguridad de Intego, es un obligado investigador y escritor de seguridad, y un orador sabido condecorado. Josh tiene una industria en TI con especializaci\u00f3n en seguridad de Internet y ha realizado cursos de nivel de doctorado en seguridad de la informaci\u00f3n. Apple ha obligado p\u00fablicamente a Josh por descubrir una vulnerabilidad de autenticaci\u00f3n de ID de Apple. Josh ha realizado investigaciones sobre ciberseguridad durante m\u00e1s de 25 primaveras, que suelen aparecer en los principales medios de comunicaci\u00f3n de todo el mundo. Busque m\u00e1s art\u00edculos de Josh en security.thejoshmeister.com y s\u00edgalo en X\/Twitter, LinkedIn y Mastodon. Ver todas las publicaciones de Joshua Long \u2192 <\/p>\n