A medida que macOS continúa ganando popularidad, con más de 100 millones de usuarios a nivel mundial, se está convirtiendo en un objetivo cada vez más atractivo para los ciberdelincuentes.

A pesar de su reputación como un sistema operativo seguro, el surgimiento de amenazas sofisticadas como Banshee MacOS Stealer resalta la importancia de la vigilancia y las medidas proactivas de ciberseguridad. Check Point Research (CPR) ha estado monitoreando este malware emergente que apunta a usuarios de macOS.

Cuando las suposiciones de seguridad fallan

Muchos usuarios de macOS asumen que la arquitectura basada en Unix de la plataforma y su menor participación histórica en el mercado la hacen un objetivo menos atractivo para los ciberdelincuentes y, por lo tanto, inmune al malware. Aunque macOS incluye características de seguridad robustas como Gatekeeper, XProtect y sandboxing, el surgimiento del Banshee stealer sirve como un recordatorio de que ningún sistema operativo es inmune a las amenazas.

Este malware sigiloso no solo se infiltra; opera sin ser detectado, mezclándose perfectamente con los procesos normales del sistema mientras roba credenciales del navegador, billeteras de criptomonedas, contraseñas de usuarios y datos de archivos sensibles.

Lo que hace que Banshee sea verdaderamente alarmante es su capacidad para evadir la detección. Incluso los profesionales de TI experimentados tienen dificultades para identificar su presencia. Banshee stealer no es solo otro malware; es una advertencia crítica para que los usuarios reevalúen sus suposiciones de seguridad y tomen medidas proactivas para proteger sus datos.

La evolución del Banshee Stealer: una nueva raza de amenaza

El Banshee macOS Stealer llegó por primera vez a la atención pública a mediados de 2024, anunciado como un "stealer-as-a-service" en foros clandestinos, como XSS y Exploit, y Telegram. Por 3 mil pesos, los actores de amenazas podían comprar este malware para apuntar a usuarios de macOS.

A finales de septiembre, CPR identificó una nueva versión no detectada de Banshee con un giro interesante: sus desarrolladores habían "robado" un algoritmo de cifrado de cadenas del propio motor antivirus XProtect de Apple, que reemplazó las cadenas de texto plano utilizadas en la versión original.

Este movimiento probablemente permitió que Banshee evadiera la detección de los motores antivirus durante más de dos meses. Durante este tiempo, los actores de amenazas distribuyeron el malware a través de sitios web de phishing y repositorios maliciosos de GitHub, haciéndose pasar por herramientas de software populares como Chrome, Telegram y TradingView.

Las operaciones de Banshee dieron un giro significativo en noviembre de 2024 cuando su código fuente fue filtrado en los foros clandestinos XSS y se cerró al público. Esta filtración no solo expuso su funcionamiento interno, sino que también llevó a una mejor detección por parte de los motores antivirus. Si bien esta filtración llevó a una mejor detección por parte de los motores antivirus, también generó preocupaciones sobre nuevas variantes que podrían ser desarrolladas por otros actores.

Cómo opera Banshee Stealer

La funcionalidad de Banshee Stealer revela la sofisticación detrás del malware moderno. Una vez instalado, realiza las siguientes acciones:

• Robo de datos del sistema: apunta a navegadores como Chrome, Brave, Edge y Vivaldi, junto con extensiones de navegador para billeteras de criptomonedas. También explota una extensión de Autenticación de Dos Factores (2FA) para capturar credenciales sensibles. Además, recopila detalles de software y hardware, direcciones IP externas y contraseñas de macOS.
• Engaña a los usuarios: utiliza ventanas emergentes convincentes diseñadas para parecer indicaciones legítimas del sistema para engañar a los usuarios y hacer que ingresen sus contraseñas de macOS.
• Evita la detección: emplea técnicas anti-análisis para evitar herramientas de depuración y motores antivirus.
• Exfiltra datos: envía información robada a servidores de comando y control a través de archivos cifrados y codificados.