Banshee для macOS: infostealer, крадущий пароли и связку ключей

В статье рассматриваются технические аспекты infostealers для macOS с особым акцентом на вредоносный образец под именем Banshee. Этот stealer нацелен на сбор конфиденциальной информации — в первую очередь учетных данных — из браузеров и системных хранилищ macOS, и демонстрирует целый набор методов для эффективного извлечения, проверки и эксфильтрации данных.

Ключевые особенности и общий подход

Banshee использует комплексный, многоэтапный подход:

• целевой сбор данных из профилей восьми различных браузеров, включая как профили по умолчанию, так и пользовательские;
• кража как браузерных баз данных (пароли, cookies и т. д.), так и компонентов, необходимых для их расшифровки — в частности _Keychain_;
• верификация украденных учетных данных в реальном времени посредством механизмов macOS Directory Services и визуальных фишинговых запросов, реализованных через AppleScript;
• манипуляция политиками приватности macOS (TCC) для получения и сохранения необходимых разрешений;
• «временная» операционная модель — отсутствие устойчивого persistence, что усложняет обнаружение;
• быстрая эксфильтрация данных на C2-серверы через HTTP POST-запросы.

«Banshee использует сложный подход к извлечению пользовательских данных, внедряя методы сбора с учетом профилей для восьми различных браузеров…»

Как Banshee крадет и расшифровывает данные

Ключевой технический момент — зависимость браузерных паролей от системных ключей. В Chromium-производных браузерах пароли зашифрованы с помощью ключа, хранящегося в Keychain. Поэтому для успешной последующей расшифровки злоумышленнику требуются оба компонента: база данных браузера и соответствующий ключ из Keychain. Banshee целенаправленно собирает оба элемента, что позволяет злоумышленнику завершить расшифровку в автономном режиме и реализовать коммерческую продажу данных на подпольных рынках.

Фишинг паролей и AppleScript

Одним из важных методов является фишинг паролей с верификацией в реальном времени. Вредоносное ПО создаёт визуально правдоподобные окна аутентификации с помощью AppleScript, вводя пользователя в заблуждение и запрашивая учетные данные. После ввода эти данные проверяются через службы каталогов macOS (Directory Services), что повышает вероятность успешного использования украденных логинов.

Разведка и обход защит macOS

Banshee собирает системную разведывательную информацию (Hardware Model ID, серийный номер, версия ОС, данные учетной записи пользователя) для профилирования жертвы и корректировки поведения. Также наблюдаются попытки модификации или обхода механизмов TCC (Transparency, Consent, Control), чтобы сохранить или повторно получить доступ к необходимым возможностям (например, доступ к Accessibility, Screen Recording и пр.) без явного вмешательства пользователя.

Операционная модель и эксфильтрация

Вредоносное ПО спроектировано по принципу «быстрого налёта»: отсутствие длительного закрепления в системе снижает следы и усложняет детектирование, а быстрая эксфильтрация по HTTP POST обеспечивает вывод украденных данных до того, как пользователь или средства защиты отреагируют.

Соответствие техникам MITRE ATT&CK

Поведение Banshee коррелирует с несколькими техниками, описанными в платформе MITRE ATT&CK. В частности наблюдаются элементы, соответствующие:

• перехвату вводимых данных через вводящие в заблуждение UI-подсказки (deceptive prompts / user interaction);
• эксфильтрации данных через HTTP-канал;
• разведке локальной системы и сбору учетных данных;
• использованию методов запутывания для усложнения обнаружения и анализа.

Последствия для специалистов по безопасности

Суть угрозы — крайне короткая «окно», в течение которого злоумышленник получает и вывозит ценную информацию. По факту, к моменту обнаружения аномалий конфиденциальные данные, скорее всего, уже скомпрометированы и переданы третьим лицам. Это делает традиционные постфактумные меры недостаточными.

Рекомендации по обнаружению и защите

Практические меры для снижения риска и обнаружения активности, характерной для Banshee:

• включить мониторинг попыток доступа к Keychain и аномалий в событиях Directory Services;
• логирование и анализ нестандартных AppleScript-исполнений и GUI-подсказок, запускаемых в пользовательской сессии;
• контроль изменений и запросов разрешений TCC, особенно для Accessibility, Screen Recording и Full Disk Access;
• фильтрация и анализ исходящих HTTP POST-запросов на предмет отправки больших объёмов конфиденциальных данных на неизвестные C2;
• внедрение многофакторной аутентификации (MFA) и политики регулярной смены паролей для снижения ценности украденных учетных данных;
• ограничение привилегий пользователей и применение принципа наименьших привилегий;
• немедленная смена паролей и отозвание сессий при подозрении на компрометацию; проведение оффлайн-форензики на заражённых машинах.

Вывод

Banshee демонстрирует эволюцию infostealers для macOS: сочетание целевого кражи браузерных данных, хищения элементов Keychain, интерактивного фишинга через AppleScript и тактики быстрой эксфильтрации. Эта комбинация повышает эффективность атак и уменьшает время, доступное для реакции. Для команд по кибербезопасности это означает необходимость превентивных мер, постоянного мониторинга специфичных индикаторов компрометации и оперативных процедур реагирования, ориентированных на минимизацию ущерба в первые часы после инцидента.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.