Новый инфокрад на Rust: повторение Banshee для macOS

Новый инфокрад на Rust: повторение Banshee для macOS

Источник: blog.kandji.io

Последние исследования показывают, что инфокрады, нацеленные на macOS, продолжают эволюционировать, что делает их распознавание чрезвычайно сложным. В связи с этим важность постоянного мониторинга становится критически актуальной. Недавняя утечка исходного кода одного из таких инфокрадов—»Banshee»—дала представление о его внутреннем устройстве и механизмах работы.

Новые угрозы: инфокрады на базе Rust

15 января 2025 года команда VirusTotal обнаружила нового инфокрада, написанного на Rust, который демонстрирует поведение, схожее с тем, что было описано в утекшем исходном коде Banshee. Этот инфостилер на базе Rust нацелен на:

  • браузеры;
  • кошельки;
  • расширения.

Особенностью Rust-инфокрада является то, что он передает захваченные данные на localhost, что может свидетельствовать о его стадии тестирования или разработки.

Сравнение с утечкой кода Banshee

Одной из главных задач данного исследования является сравнение поведения приложения на базе Rust с утечкой кода Objective-C. Анализ показал поразительное сходство, что позволяет предположить, что это переписанная версия Banshee в Rust. Примечательные моменты из анализа включают:

  • Использование уникальных идентификаторов Rust в именах функций, которые потребовали удаления для удобства чтения;
  • Функция main(), инициирующая объект Controller и позволяющая запускать приложение с определенными аргументами;
  • Наличие кода для запуска нового процесса и запрос системной информации для определения среды выполнения, что характерно для инфокрадов.

Деятельность инфокрада в отношении браузеров

Анализ инфокрада нацеленного на браузеры выявил, что он использует функцию mac_os_stealer::browsers::Browsers::collect_all_data() для сбора данных из популярных браузеров, таких как Chrome, Firefox, Microsoft Edge и Yandex. Важные аспекты этой активности включают:

  • Проверка наличия файлов с помощью функции stat();
  • Создание каталога для хранения собранных файлов.

Это поведение подтверждает согласованную структуру действия с другими известными инфокрадами.

Информация о кошельках и ее анализ

Исследование также охватывает подход инфокрада к получению информации о криптовалютных кошельках. Выявленные методы включают:

  • Настройки, ориентированные на конкретные кошельки;
  • Синтаксический анализ строк Rust без завершения нулем;
  • Хранение путей в массиве.

Сравнение этих методов с утечкой исходного кода Banshee усиливает аргумент о том, что Rust-инфостилер является повторной реализацией Banshee.

Заключение

Таким образом, можно с уверенностью сказать, что инфостилер на базе Rust является переработанной версией Banshee. Общие имена функций, строки ошибок и состояния, а также целевые файлы указывают на его тесную связь с утечкой кода. Использование localhost для передачи данных указывает на возможный этап тестирования или разработки. Важно отметить необходимость постоянной бдительности, поскольку вредоносное ПО для macOS продолжает развиваться, что требует адаптации методов обнаружения и смягчения угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: