Banshee Stealer緊盯macOS用戶：安全防護(hù)需升級(jí)

隨著Apple在全球個(gè)人電腦市場(chǎng)的地位日益穩(wěn)固，macOS系統(tǒng)也迎來了前所未有的關(guān)注度。根據(jù)IDC最新發(fā)布的2024年全球市場(chǎng)報(bào)告，Apple已成功躋身全球第四大個(gè)人電腦供應(yīng)商之列，年度漲幅更是名列前茅。這一成就背后，是macOS系統(tǒng)超過1億活躍用戶的龐大基數(shù)。然而，隨著用戶數(shù)量的激增，macOS系統(tǒng)也開始面臨前所未有的安全挑戰(zhàn)。

近年來，盡管macOS系統(tǒng)以其Unix架構(gòu)和較低的市場(chǎng)份額被視為相對(duì)安全的操作系統(tǒng)，但現(xiàn)實(shí)卻并非如此。Check Point Research（CPR）最近揭露了一款名為Banshee的macOS Stealer惡意軟件，該軟件能夠竊取瀏覽器憑證、加密貨幣錢包和其他敏感數(shù)據(jù)，對(duì)用戶的信息安全構(gòu)成了嚴(yán)重威脅。

Banshee惡意軟件首次在2024年年中引起公眾注意，當(dāng)時(shí)它以“竊取程序即服務(wù)”的形式在地下論壇和Telegram上出售。攻擊者只需支付3000美元，就能獲得這款惡意軟件，并向macOS用戶發(fā)起攻擊。CPR在9月下旬發(fā)現(xiàn)了一款經(jīng)過升級(jí)的新版Banshee，該版本利用從Apple自有XProtect殺毒引擎中竊取的字符串加密算法，成功逃避了殺毒引擎的檢測(cè)。

在這段期間，攻擊者通過網(wǎng)絡(luò)釣魚網(wǎng)站和惡意GitHub倉庫傳播這款惡意軟件，將其偽裝成Chrome瀏覽器、Telegram和TradingView等熱門軟件工具。Banshee不僅具備強(qiáng)大的隱蔽性，還能與正常系統(tǒng)進(jìn)程無縫融合，使得即使是經(jīng)驗(yàn)豐富的IT專業(yè)人員也難以發(fā)現(xiàn)其存在。

然而，在2024年11月，Banshee的運(yùn)營發(fā)生了重大變故。其源代碼被泄露在地下論壇上，導(dǎo)致Stealer即服務(wù)不再公開銷售。這一事件雖然提高了殺毒引擎的檢出率，但也引發(fā)了人們對(duì)其他攻擊者可能開發(fā)新變種的擔(dān)憂。Banshee惡意軟件的功能十分復(fù)雜，安裝完成后，它會(huì)竊取系統(tǒng)數(shù)據(jù)，包括瀏覽器憑證、加密貨幣錢包的擴(kuò)展程序信息，以及軟件和硬件的詳細(xì)信息等。同時(shí)，它還會(huì)通過偽裝成合法系統(tǒng)提示的迷惑性彈出窗口，誘騙用戶輸入macOS密碼。

GitHub倉庫成為了Banshee惡意軟件的主要傳播途徑。攻擊者利用惡意倉庫冒充常用軟件，誘使用戶下載并安裝這款惡意軟件。這些倉庫往往看似合法，通過星級(jí)評(píng)分和評(píng)論等手段贏得用戶信任后，便會(huì)發(fā)起惡意攻擊活動(dòng)。在三輪攻擊中，攻擊者同時(shí)使用了另一種已知的惡意軟件Lumma Stealer來瞄準(zhǔn)Windows用戶。

企業(yè)必須認(rèn)識(shí)到現(xiàn)代惡意軟件帶來的廣泛風(fēng)險(xiǎn)。數(shù)據(jù)安全事件的頻發(fā)不僅會(huì)泄露敏感信息，損害企業(yè)聲譽(yù)，還會(huì)造成重大經(jīng)濟(jì)損失。特別是針對(duì)加密貨幣錢包的定向攻擊，更可能危及企業(yè)的數(shù)字資產(chǎn)。隱蔽惡意軟件如Banshee能夠逃避檢測(cè)，若未及時(shí)發(fā)現(xiàn)并清除，將對(duì)企業(yè)的運(yùn)維造成長期損害。

從Banshee惡意軟件的出現(xiàn)中，我們可以汲取到許多經(jīng)驗(yàn)教訓(xùn)。網(wǎng)絡(luò)威脅正不斷演進(jìn)，安全防護(hù)措施必須與時(shí)俱進(jìn)。自Banshee源代碼泄露后，雖然其即服務(wù)運(yùn)營已正式關(guān)閉，但CPR仍發(fā)現(xiàn)有多起攻擊活動(dòng)通過網(wǎng)絡(luò)釣魚網(wǎng)站傳播這款惡意軟件。這些攻擊活動(dòng)的發(fā)起者尚不清楚，可能是以前的客戶，也可能是開發(fā)者的私人團(tuán)伙。

最新版本的Banshee惡意軟件已經(jīng)取消了特定語種檢查的功能。這一變化意味著該惡意軟件將不再針對(duì)特定地區(qū)進(jìn)行限制，潛在目標(biāo)范圍進(jìn)一步擴(kuò)大。因此，企業(yè)和用戶都必須采取更加主動(dòng)和全面的安全防護(hù)措施來抵御這些威脅。

為了應(yīng)對(duì)這些挑戰(zhàn)，企業(yè)和用戶需要采用先進(jìn)的工具和技術(shù)來加強(qiáng)安全防護(hù)。同時(shí)，時(shí)刻保持警惕和謹(jǐn)慎行事也是至關(guān)重要的。CPR一直致力于及時(shí)發(fā)現(xiàn)和有效緩解安全風(fēng)險(xiǎn)，通過及時(shí)了解最新信息并投資強(qiáng)大的網(wǎng)絡(luò)安全措施，企業(yè)用戶可以更好地保護(hù)其數(shù)據(jù)并靈活應(yīng)對(duì)這些不斷演變的威脅。

CPR還提醒用戶切勿盲目做出安全假設(shè)。盡管macOS系統(tǒng)具有多項(xiàng)強(qiáng)大的安全防護(hù)功能，但任何操作系統(tǒng)都無法完全幸免于惡意軟件的攻擊。因此，用戶必須重新評(píng)估自己的安全假設(shè)，并采取主動(dòng)防護(hù)措施來保護(hù)其數(shù)據(jù)。

最后，CPR強(qiáng)調(diào)，隨著網(wǎng)絡(luò)犯罪分子不斷變換花樣，安全防護(hù)解決方案必須與時(shí)俱進(jìn)。企業(yè)和用戶必須時(shí)刻保持警惕，謹(jǐn)慎行事，以應(yīng)對(duì)這些不斷演進(jìn)的威脅。