长久以来， macOS相关产品因为其全体市场份额占比不高，以及体系较为封闭的原因，用户普遍认为相对于Windows生态，macOS更加安全。然而，跟着 macOS 越来越受欢迎，在全球已具有超越 1 亿活跃用户。在刚刚出炉的IDC 2024年全球市场报告中能够看到，Apple已经成为全球第四大个人电脑供应商，其2024年度涨幅则位列前三。一个具有庞大用户基数的操作生态体系无疑对不法分子有着激烈的诱惑。自2024年9月开端，Check Point Research (CPR) 一直在密切监控并揭露了歹意软件 Banshee macOS Stealer，该软件能够盗取浏览器凭据、加密钱银钱包和其他灵敏数据。Banshee macOS Stealer在随后一段时间几经晋级“面目一新”，因此Check Point安全专家期望经过一次深化的揭秘引起macOS用户以及各企业与组织的重视，并且坚持高度警觉同时采纳自动网络安全防护办法。
Check Point Research (CPR) 一直在监控这一针对 macOS 用户的新式歹意软件。以下是一些企业和用户须知。
切勿盲目做出安全假设
许多企业与 macOS 用户认为，因为该渠道选用基于 Unix 的架构，并且市场份额向来较低，因此对网络犯罪分子的吸引力较小，或会幸免于歹意软件进犯。尽管 macOS 具有 Gatekeeper、XProtect 和沙盒等多项强大的安全防护功用，但 Banshee Stealer 的出现提醒我们，任何操作体系都无法幸免于难。
腾讯机房故障,这一荫蔽的歹意软件不只会侵入体系，并且还会暗中运转，与正常体系进程无缝融合，盗取浏览器凭据、加密钱银钱包、用户暗码和灵敏文件数据。Banshee 的真正损害之处在于它能够逃避检测。即使是经验丰富的 IT 专业人员也很难发现其存在。Banshee Stealer 不只是又一种歹意软件，更是一个安全正告，警示用户有必要重新评估自己的安全假设，并采纳自动防护办法来保护其数据。
Banshee Stealer 的演化：一种新型要挟
Banshee MacOS Stealer 于 2024 年年中首次引起大众重视，当时它在 XSS 和 Exploit 等地下论坛以及 Telegram 上以“盗取程序即服务”的形式出售。进犯者只需花费 3,000 美元就能买到这款歹意软件，向 macOS 用户发起进犯。9 月下旬，CPR 发现了一个从未检测到过的新版 Banshee。值得注意的是，其开发者从 Apple 自有 XProtect 杀毒引擎中窃得一种字符串加密算法，并用它取代了原始版别中运用的纯文本字符串。或因于此，Banshee 在过去两个多月中逃过了杀毒引擎的检测。在此期间，进犯者经过网络垂钓网站和歹意 GitHub 库房传达此歹意软件，将其伪装成 Chrome 浏览器、Telegram 和 TradingView 等抢手软件东西。
2024 年 11 月，Banshee 的运营发生了严重变故，其源代码被泄露在 XSS 地下论坛上，也不再公开销售 Stealer 即服务。这起泄漏事情不只暴露了其内部运作方式，并且还降低了其检测难度。尽管此次泄露事情让杀毒引擎的检出率得以进步，但也引发了人们对其他进犯者开发新变种的担忧。
Banshee Stealer 的运作方式
Banshee Stealer 的功用提醒了现代歹意软件背后的复杂性。安装完成后，它将：
· 盗取体系数据：瞄准 Chrome、Brave、Edge 和 Vivaldi 等浏览器，以及加密钱银钱包的浏览器扩展程序。此外，它不只会运用两层身份验证 (2FA) 扩展程序捕获灵敏凭据，并且还会收集软件和硬件详细信息、外部 IP 地址和 macOS 暗码。
· 诱骗用户：经过伪装成合法体系提示的迷惑性弹出窗口，诱骗用户输入其 macOS 暗码。
· 逃避检测：运用反分析技术逃避调试东西和杀毒引擎。
· 泄露数据：经过加密和编码文件向指令和控制服务器发送盗取的信息。
http://img.danews.cc/upload/ajax/20250115/eefc1fcf1b67d14b7957e3d56e1a83de.png
Banshee 登录面板
进犯者将 GitHub 库房用作 Banshee 的主要传达途径。这些进犯活动运用 Banshee 向 macOS 用户发起进犯，同时运用另一种已知的歹意软件 Lumma Stealer 瞄准 Windows 用户。在三轮进犯中，进犯者创建歹意库房来假充常用软件，诱运用户下载此歹意软件。这些库房往往看似合法，在经过星级评分和评论等赢得用户信任后，便会发起歹意进犯活动。
http://img.danews.cc/upload/ajax/20250115/b5e62b69809c7656f7aafb04fea2d033.png
Github.io 网站
企业有必要进步危险意识
企业有必要认识到现代歹意软件带来的更广泛危险，包括数据安全事情会泄露灵敏信息并损害企业声誉，形成严重经济损失；针对加密钱银钱包的定向进犯会危及数字财物；以及荫蔽歹意软件能够逃避检测，若未辨认则会形成长时间损害，导致运维中止。
从 Banshee Stealer 中汲取的经验教训
Banshee 的出现标明网络要挟正不断演进，有必要采纳强大防御办法。自 2024 年 11 月其源代码被泄露后，Banshee Stealer 即服务运营即正式封闭。不过，CPR 发现仍有多起进犯活动经过网络垂钓网站传达此歹意软件。现在尚不清楚这些进犯活动是由以前的客户仍是开发者的私家团伙发起。
http://img.danews.cc/upload/ajax/20250115/a867edf9c6537b7940ab1f7ed3baa0a8.png
进犯活动集群
最新版别 Banshee 的一大更新是取消了特定语种查看。从前的歹意软件版别一检测到某些特定语种就会停止运转，可能是为了防止进犯特定地区。现在删除这一功用进一步扩大了潜在方针范围。
跟着网络犯罪分子不断改换花样，安全防护解决方案有必要与时俱进，以供给全面的安全防护。企业和用户都有必要采纳自动防护办法来抵挡要挟，选用先进东西，并时刻坚持警觉，慎重行事。Check Point Research 一直致力于及时发现和有用缓解安全危险。经过及时了解最新信息并投资强大的网络安全办法，企业用户能够有用保护其数据并灵敏应对这些要挟。