TTL OSINT

За стеной: разоблачение инфокрада Банши

Banshee infostealer - это вредоносная программа на базе macOS, которая нацелена на системную информацию, данные браузера и криптовалютные кошельки. Впервые о ней стало известно в августе 2024 года, и считается, что она была разработана российскими злоумышленниками. Ежемесячная подписка на Banshee Stealer стоит 3000 долларов и предназначена для работы как на архитектурах x86_64, так и на ARM64. Вредоносная программа использует базовые методы, позволяющие избежать обнаружения, такие как обнаружение отладки с использованием sysctl API и обнаружение виртуализации путем проверки наличия строки "Virtual" в идентификаторе модели оборудования. Banshee Stealer собирает системную информацию, пароли пользователей, информацию о файлах, данные браузера и криптовалютные кошельки. После сбора данных программа ZIP сжимает временную папку, XOR шифрует, а base64 кодирует zip-файл и отправляет его через post-запрос на URL-адрес с помощью встроенной команды cURL. Elastic Security разработала правила YARA для идентификации вредоносного ПО Banshee.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.elastic.co/security-labs/beyond-the-wail

Примерные показатели Compromise:

• http://45.142.122.92/send/
• 11aa6eeca2547fcf807129787bec0d576de1a29b56945c5a8fb16ed8bf68f782
• 45.142.122.92

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал