Le malware Banshee Stealer menace les utilisateurs macOS depuis mi-2024. Selon Check Point Research, qui a détecté cette nouvelle menace, il a échappé aux antivirus pendant deux mois.

Numérotez les abattis de vos appareil tournant sous macOS - © alexgo.photography / Shutterstock
Numérotez les abattis de vos appareil tournant sous macOS - © alexgo.photography / Shutterstock

Les équipes de Check Point Research (CPR) ont découvert une nouvelle version de Banshee, un malware qui exploite les failles de sécurité de macOS. Commercialisé à 3 000 dollars sur des forums clandestins comme XSS et Telegram, ce logiciel malveillant a utilisé un algorithme de chiffrement subtilisé à XProtect, l'antivirus natif d'Apple.

Cette feinte lui a permis de passer sous les radars pendant plus de deux mois. Les cybercriminels diffusent Banshee à travers des sites de phishing et des clones GitHub de logiciels ou applications populaires comme que Chrome et Telegram.

Le vol de données comme objectif principal

On s'en serait douté, Banshee Stealer, comme son nom l'indique, cible systématiquement les informations sensibles, à savoir les données personnelles ou autres coordonnées bancaires des utilisateurs macOS. « Le malware ne se contente pas de s'infiltrer. Il opère sans être détecté, se fond dans les processus système normaux », précise Check Point Research dans son rapport.

Le programme exfiltre les identifiants des navigateurs Chrome, Brave, Edge et Vivaldi. Il s'attaque aussi aux portefeuilles de cryptomonnaies et aux extensions d'authentification à deux facteurs grâce à des fenêtres pop-up qui reproduisent fidèlement l'interface macOS pour obtenir les mots de passe système. Le malware transfère ensuite les données volées vers des serveurs distants via des fichiers cryptés.

Banshee Stealer s'attaque à vos mots de passe système - © robert coolen / Shutterstock
Banshee Stealer s'attaque à vos mots de passe système - © robert coolen / Shutterstock

Banshee : une menace en pleine mutation

On vous en a déjà parlé sur Clubic, les « infostealers » comme Banshee font partie des pires malwares qui sévissent sur macOS. En plus de faire mal, il évolue. Novembre 2024 marque en effet un changement dans la vie de Banshee, après la fuite de son code source. Si le service « Stealer-as-a-service » a officiellement cessé ses activités, les chercheurs de CPR observent de nouvelles campagnes de distribution du malware. « On ne sait pas encore si ces campagnes sont menées par d'anciens clients ou par le groupe privé de l'auteur », indique l'équipe de recherche. On notera un changement technique en particulier : la suppression du filtre de la langue russe. Cette modification, qui stoppait auparavant l'exécution du programme sur les systèmes en russe, permet maintenant au malware de cibler tous les utilisateurs macOS.

Pour preuve, plus de 100 millions d'utilisateurs macOS dans le monde sont potentiellement ciblés. Les fonctionnalités de sécurité natives comme Gatekeeper et XProtect ne suffisent plus à garantir une protection optimale. « Même les professionnels de l'informatique chevronnés ont du mal à identifier sa présence », souligne CPR.

Source : XDA