Banshee 2.0 Malware Steals Apple’s Encryption to Hide on Macs
2025/01/10 DarkReading — macOS を標的とするインフォスティーラー Banshee が、Apple から盗んだ文字列暗号化アルゴリズムを悪用し、ウイルス対策プログラムによる検知を開始していることが、研究者により発見された。2024年7月から、主としてロシアのサイバー犯罪マーケットプレイスを介して拡散された Banshee は、Mac 用の Stealer-as-a-Service として $1,500 で販売されていた。
このマルウェアは、Google Chrome/Brave/Microsoft Edge/Vivaldi/Yandex/Opera などのブラウザーや、Ledger/Atomic/Wasabi/Guarda/Coinomi/Electrum/Exodus などの暗号通貨ウォレットに関連付けられた、ブラウザー・エクステンションから認証情報を盗むように設計されている。さらに、ターゲットシステムの追加の情報として、ソフトウェアとハードウェアの仕様および、システム・ロックを解除するパスワードなどを盗み出すという。
ただし、このマルウェアは完璧なツールではなく、また、完全な平文でパッケージ化されていたことで、ウイルス対策プログラムにより容易に検出されていた。しかし、2024年9月26日に Check Point の研究者たちが発見したのは、より強化された亜種である。この亜種で用いられた暗号化アルゴリズムは、主として Apple macOS 用ウイルス対策ツール Xprotect で使用されているものであり、それにより、数か月間にわたり検出されずにいたという。
XProtect から情報を盗み出した Banshee マルウェア
XProtect とは、15年も前から macOS 用に提供されてきたマルウェア対策エンジンである。マルウェアを検出してブロックするために、XProtect は YARA ルールを用いており、それにより、 既知の脅威に関連するパターンとシグネチャを取り込んでいる。さらに、Remediator バイナリを用いて、ウイルス対策のための各種の手法とツールを組み合わせている。
そして、2024年9月の時点で Check Point が発見していたのは、XProtect の YARA ルール保護で用いられている暗号化アルゴリズムが、Banshee 亜種を保護していることだった。ただし、マルウェア作成者である 0xe1 および kolosain が、そのアルゴリズムにアクセスした方法は不明である。
Check Point Research のリバース・エンジニアである Antonis Terefos は、「それらの脅威アクターたちが、XProtect バイナリに対してリバース・エンジニアリングを実行し、また、関連する発行物を読んだ可能性があるが、事実は確認できない。ただし、macOS XProtect における、文字列に対する暗号化の方法が明らかになると、つまり、このウイルス対策ソフトウェアが、YARA ルールを保存する方法がリバース・エンジニアリングされてしまうと、文字列に対する暗号化の再実装は容易になり、脅威アクターたちは悪意の目的で利用できてしまう」と推測している。
彼は、「いずれにせよ、その影響は顕著だった。VirusTotal のウイルス対策ソリューションの大部分は、プレーン・テキストを使用して、当初の Banshee サンプルを検出していた。しかし、このマルウェアの開発者が、新しい文字列暗号化アルゴリズムを導入した後に、VirusTotal 上の約 65 種類のウイルス対策エンジンは、まったく検出できなくなっていた」と付け加えている。
この状態が、約2ヶ月にわたって続いた。そして、11月23日の時点で、ロシア語のサイバー犯罪フォーラム XSS で、Banshee のソース・コードが漏洩した。 0xe1 は MaaS (malware-as-a-service) の運営を中止し、アンチウイルス・ベンダーも関連する YARA ルールを組み込むことになった。しかし、その後においても、VirusTotal 上の大半のエンジンは、暗号化された Banshee を検出されなかったと、Terefos は報告している。
Banshee Stealer がサイバー攻撃で拡散する仕組み
2024年9 月下旬以降において、Check Point が特定したのは、26 件以上のキャンペーンにより Banshee が拡散されていたことだ。大まかに言えば、それらは2つのクラスターに分けられるという。
2024年10月中旬〜11月初旬にかけて展開された、第三波のキャンペーンで脅威アクターたちは、このインフォスティーラーを、GitHub リポジトリ経由で拡散した。このリポジトリがユーザーに約束していたのは、Adobe のビデオ編集ツールなどのクラック版の提供である。しかし、それらのソフトウェアの、Setup/Installer/Update などのファイルには、マルウェアが隠されていた。さらに、この悪意のクラスターでは、Windows ユーザーが Lumma Stealer のターゲットにされていた。
その他のキャンペーンでは、フィッシング・サイトを介して、何らかの形で Banshee が拡散していった。これらのケースでは、Google Chrome/TradingView/Zegent/Parallels/Solara/CryptoNews/MediaKIT/Telegram などの人気ソフトウェアを装うことで、 マルウェアが拡散された。おそらく、macOS を使用する訪問者に対して、ダウンロード・リンクが表示されたはずである。
Terefos が指摘するのは、「Banshee が漏洩したことで、さまざまなキャンペーンが展開されるという可能性が生じている。これまで、macOS は安全であると考えられてきたが、Banshee の成功により変化するかもしれない。macOS ユーザーに推奨されるのは、警戒を怠らずに、脅威を認識し続けることである」という点である。
Apple XProtect 暗号化アルゴリズムを、Banshee が盗み出したようですが、どのような経緯で、そのような事が可能になるのでしょうかね? そこに、一番の興味を感じてしまいます。よろしければ、macOS で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.