Elasticsearchは8月15日(米国時間)、「Beyond the wail: deconstructing the BANSHEE infostealer — Elastic Security Labs」において、macOSを主な標的にする新しい情報窃取マルウェア「BANSHEE Stealer」を発見したと伝えた。このマルウェアはアンダーグラウンドフォーラムにて販売されており、macOSユーザーに重大なリスクをもたらすと指摘されている。

  • Beyond the wail: deconstructing the BANSHEE infostealer — Elastic Security Labs

    Beyond the wail: deconstructing the BANSHEE infostealer — Elastic Security Labs

情報窃取マルウェア「BANSHEE Stealer」の概要

セキュリティ研究者が8月12日にX(旧Twitter)において投稿した画像によると、このマルウェアは月額3,000ドルのサブスクリプションとして販売が開始されたという。この価格はWindows向けマルウェアと比較して高額で、macOSがサイバー犯罪者の魅力的な標的になっていることを示している。

  • セキュリティ研究者が投稿したアンダーグラウンドフォーラムの画像

    セキュリティ研究者が投稿したアンダーグラウンドフォーラムの画像

Elasticsearchによるマルウェアの分析では、次の機能の存在が確認されている。

  • デバッガーおよび仮想環境の検出機能。この機能は比較的単純な手法が用いられており、回避して分析可能とされる
  • ロシア語をシステム言語に設定している環境への攻撃回避
  • ユーザーパスワードの窃取
  • システム情報の窃取
  • SafariやChromeなど主要なWebブラウザの情報窃取
  • 約100個のWebブラウザプラグインのデータ窃取
  • メモアプリのデータベース窃取
  • 特定の拡張子を持つファイルの窃取
  • キーチェーンのパスワードの窃取
  • ウォレット(Exodus、Electrum、Coinomi、Guarda、Wasabi Wallet、Atomic、Ledger)の情報窃取

対策

ElasticsearchはBANSHEE Stealerを検出するYARAルールを公開している。また、入手したサンプルのハッシュ値およびコマンド&コントロール(C2: Command and Control)サーバのIPアドレスを公開している。BANSHEE Stealerの配布方法は購入した脅威アクター次第となるため、macOSユーザーにはこれら情報を活用して被害の軽減に努めることが望まれている。