随着苹果生态系统用户数量的不断增长,针对macOS平台的安全威胁也日益严重。2024年8月,安全研究团队Elastic Security Labs揭露了一款名为Banshee Stealer的恶意软件,专门针对macOS用户,窃取关键的浏览器数据和加密货币钱包信息,其高昂的租用价格和复杂的伪装手段引起了广泛关注。Banshee Stealer作为一种勒索软件服务,售价高达每月3000美元,显著高于许多针对Windows系统的知名恶意软件,如AgentTesla。这一价格反映了攻击者对macOS恶意软件需求的上升趋势,也暗示了其在黑市中的高价值。Banshee Stealer并非通过漏洞攻击系统,而是利用社会工程学手段欺骗用户授予权限。它通过执行shell命令"osascript"和AppleScript,伪造系统密码输入框,诱导用户输入电脑登录密码。
一旦用户配合,恶意软件便能获得广泛权限,开始大规模采集信息。Banshee Stealer收集的数据范围极广,包括硬件信息、安装的软件列表,以及macOS系统内置的笔记应用数据库。此外,它还会扫描桌面和文档文件夹中的指定文件类型,并重点攻击Safari浏览器的Cookie。除了Safari,Banshee Stealer对主流浏览器如Firefox、Chrome、Edge和Brave也展开攻击,不仅窃取Cookie,还能获取浏览历史、登录凭证以及多达上百个浏览器扩展插件的数据。数据在某种程度上体现出攻击者追求全方位掌控受害者数字痕迹的意图。特别值得注意的是,恶意软件会窃取macOS系统中的登录钥匙串(login.keychain-db),这一数据库通常由用户登录密码加密,一旦密码被成功诱导输入,攻击者就能访问存储在其中的全部密码。
相比之下,macOS中另一个高安全性的iCloud钥匙串尚未遭到成功攻击,这使得当前威胁范围有所限制,但依然不容忽视。除了浏览器数据,Banshee Stealer还针对加密货币钱包资产展开攻击,具体涉及多款主流钱包如Atomic、Coinomi、Electrum、Exodus、Guarda、Ledger及Wasabi Wallet。攻击者通过窃取钱包应用的数据文件,试图获取用户加密货币资产的访问权限,从而实现资金盗窃。虽然相比某些高度复杂的恶意软件,Banshee Stealer技术手段不算顶尖,但其广泛的数据搜集和高效的远程指令控制能力使其极具危害性。攻击过程中,恶意软件会将收集到的信息上传至远程Command-and-Control服务器,实现实时监控和数据提取。至于Banshee Stealer的传播途径,目前仍处于不明状态。
安全研究人员推测,用户可能通过不明来源的邮件附件、未知来源的软件下载链接或社交媒体平台传递的文件感染该病毒。由于Banshee Stealer依赖用户主动输入密码,社会工程学攻击成为核心入侵手段。为了检测和防御这类威胁,Elastic Security Labs公开了针对该恶意软件的Yara规则。Yara是一款开源恶意软件识别工具,适用于多种杀软和安全监测系统。虽然苹果自带的XProtect技术支持Yara规则,但截至2024年8月,苹果尚未发布Banshee Stealer的特定数据库更新,用户只能等待官方方案,或依靠第三方安全软件和自身防范意识。面对这种基于欺骗用户的攻击方式,提升个人安全意识尤为重要。
用户需务必确保软件下载渠道可信,不轻易打开未知邮件附件或未经核实的消息内文件。当系统或软件请求输入密码时,应仔细判断是否为合法需求,可通过查阅官方文档、联系软件提供者或咨询专业人员确认。此外,定期备份重要数据和启用双重身份验证也是有效保护数字资产的关键措施。总的来说,Banshee Stealer的出现提醒我们,即便是相对封闭和安全的macOS环境,也无法完全避免安全威胁。攻击者正不断调整策略,利用人性的软肋以及系统自身权限设计,实现对用户数据的高效窃取。面对日趋严峻的网络安全形势,用户和企业应进一步强化安全意识,采用多层防护手段,及时更新系统和安全软件,避免给恶意软件可乘之机。
未来,随着macOS用户基数的扩大和数字资产的重要性提升,类似Banshee Stealer这样的威胁可能会更加多样化和隐蔽。只有积极学习安全知识,保持警觉,才能在网络风险中有效保护自己的隐私和财富安全。 。
