사이버보안 연구원들은 Apple macOS 시스템을 특별히 표적으로 삼도록 설계된 새로운 스틸러 맬웨어를 발견했습니다.
Banshee Stealer라는 이름의 이 악성코드는 사이버범죄 조직에서 한 달에 3,000달러라는 엄청난 가격으로 판매되고 있으며 x86_64와 ARM64 아키텍처에서 모두 작동합니다.
Elastic Security Labs는 목요일 보고서에서 “Banshee Stealer는 광범위한 브라우저, 암호화폐 지갑, 약 100개의 브라우저 확장 프로그램을 표적으로 삼아 매우 다재다능하고 위험한 위협이 되고 있습니다.”라고 밝혔습니다.
이 맬웨어가 표적으로 삼는 웹 브라우저와 암호화폐 지갑에는 Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic, Ledger 등이 있습니다.
또한 iCloud 키체인 비밀번호와 메모에서 시스템 정보와 데이터를 수집하고, 감지를 회피하기 위해 가상 환경에서 실행 중인지 확인하기 위해 다양한 분석 방지 및 디버깅 방지 조치를 통합할 수 있는 기능도 갖추고 있습니다.
게다가 러시아어가 주요 언어인 시스템을 감염시키는 것을 방지하기 위해 CFLocaleCopyPreferredLanguages API를 사용합니다.
Cuckoo 및 MacStealer와 같은 다른 macOS 맬웨어 종류와 마찬가지로 Banshee Stealer도 osascript를 활용하여 가짜 비밀번호 프롬프트를 표시하여 사용자가 시스템 비밀번호를 입력하여 권한을 상승시키도록 속입니다.
다른 주목할 만한 기능으로는 데스크톱 및 문서 폴더에서 .txt, .docx, .rtf, .doc, .wallet, .keys, .key 확장자와 일치하는 다양한 파일에서 데이터를 수집하는 기능이 있습니다. 수집된 데이터는 ZIP 아카이브 형식으로 원격 서버(“45.142.122(.)92/send/”)로 추출됩니다.
Elastic은 “macOS가 사이버 범죄자들의 주요 타깃이 되는 경우가 늘어나면서 Banshee Stealer는 macOS 전용 맬웨어가 증가하고 있음을 보여줍니다.”라고 밝혔습니다.
Hunt.io와 Kandji는 사용자가 설치 과정을 완료하기 위해 표시된 가짜 프롬프트에 입력한 비밀번호를 캡처하고 확인하기 위해 SwiftUI와 Apple의 Open Directory API를 활용하는 또 다른 macOS 스틸러 변종에 대해 자세히 설명했습니다.
Broadcom 소유의 Symantec은 “사용자를 속이기 위해 가짜 비밀번호 프롬프트를 표시하는 Swift 기반 드로퍼를 실행하는 것으로 시작합니다.”라고 말했습니다. “악성코드는 자격 증명을 캡처한 후 OpenDirectory API를 사용하여 이를 검증한 다음 명령 및 제어 서버에서 악성 스크립트를 다운로드하여 실행합니다.”
이러한 사태는 Flame Stealer와 같은 새로운 윈도우 기반 스틸러의 지속적인 등장에 따른 것이며, OpenAI의 텍스트-비디오 인공 지능(AI) 도구인 Sora를 가장한 가짜 사이트를 사용하여 Braodo Stealer를 확산시키고 있습니다.
또한 이스라엘 사용자들은 칼칼리스트와 마코를 사칭하여 라다만티스 스틸러를 전달하는 RAR 아카이브 첨부 파일이 포함된 피싱 이메일의 표적이 되고 있습니다.
