Chombo cha habari cha macOS “Banshee” kimeonekana kinateleza na programu za antivirus kwa kutumia algoriti ya usimbaji kamba iliyoiba kutoka kwa Apple. Banshee imekuwa ikienea tangu Julai, hasa kupitia soko la uhalifu wa mtandaoni nchini Urusi, ambapo iliuzwa kama “wizi-kama-huduma” ya $1,500 kwa Mac. Imeundwa ili kuiba vitambulisho kutoka kwa vivinjari – Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex, na Opera – na viendelezi vya kivinjari vinavyohusishwa na pochi za cryptocurrency – Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum, na Exodus. Zaidi, huinua maelezo ya ziada kuhusu mifumo inayolengwa, ikiwa ni pamoja na maelezo ya programu na maunzi, na nenosiri linalohitajika ili kufungua mfumo. Ilikuwa mbali na zana kamili, iliyogunduliwa sana na programu za antivirus, shukrani kwa sehemu kwa kuwa imewekwa katika maandishi wazi. Lakini Septemba 26, watafiti kutoka Check Point waliona lahaja yenye nguvu zaidi. Lahaja hii iliyofanikiwa zaidi ilibaki bila kutambuliwa kwa miezi kadhaa, haswa kwa sababu ilisimbwa kwa njia fiche inayotumiwa na zana ya Apple ya Xprotect ya antivirus kwa macOS. Programu hasidi ya Banshee Inaiba Kutoka kwa XProtect XProtect ni injini ya Apple ya muongo na nusu ya kupambana na programu hasidi kwa macOS. Ili kugundua na kuzuia programu hasidi, hutumia jozi za “Remediator”, ambazo huchanganya mbinu na zana mbalimbali za kuzuia virusi, ikiwa ni pamoja na sheria za YARA, ambazo zina mifumo na sahihi zinazohusishwa na vitisho vinavyojulikana. Check Point iligundua kuwa kanuni sawa ya usimbaji fiche ambayo inalinda sheria za YARA za XProtect pia ilificha lahaja la Septemba la Banshee. Sio wazi jinsi mwandishi wa programu hasidi – nom de guerre “0xe1” au “kolosain” – alipata ufikiaji wa algoriti hiyo. “Inaweza kuwa walifanya uhandisi wa kinyume cha jozi za XProtect, au hata kusoma machapisho husika, lakini hatuwezi kuthibitisha,” Antonis Terefos, mhandisi wa nyuma katika Check Point Research, anakisia. “Mara tu usimbaji fiche wa macOS XProtect unapojulikana – kumaanisha jinsi antivirus inavyohifadhi sheria za YARA imeundwa kinyume – watendaji tishio wanaweza ‘kutekeleza’ usimbaji upya wa kamba kwa madhumuni mabaya,” anasema. Kwa njia yoyote, athari ilikuwa muhimu. “Nyingi za suluhu za antivirus katika VirusTotal ziligundua sampuli za awali za Banshee kwa kutumia maandishi wazi, lakini mara tu msanidi programu alipoanzisha kanuni ya usimbaji fiche ya riwaya hii, hakuna kati ya takriban injini 65 za antivirus katika VirusTotal iliyogundua,” anasema. Hiyo ilibakia hivyo kwa karibu miezi miwili. Kisha, mnamo Novemba 23, msimbo wa chanzo wa Banshee ulivuja kwenye jukwaa la lugha ya Kirusi la uhalifu wa mtandaoni “XSS.” 0xe1 ilizima utendakazi wake wa programu hasidi-kama-huduma (MaaS), na wachuuzi wa antivirus walijumuisha sheria zinazohusiana na YARA kwa wakati ufaao. Lakini hata baada ya hatua hiyo, Terefos anaripoti, Banshee iliyosimbwa ilibaki bila kutambuliwa na injini nyingi kwenye VirusTotal. Jinsi Mwizi wa Banshee Anavyoenea Katika Mashambulizi ya Mtandao Tangu mwishoni mwa Septemba, Check Point imetambua zaidi ya kampeni 26 zinazoeneza Banshee. Kwa ujumla, zinaweza kugawanywa katika vikundi viwili. Katika mawimbi matatu ya kampeni kuanzia katikati ya Oktoba hadi mapema Novemba, watendaji tishio walieneza mwizi kupitia hazina za GitHub. Hifadhi ziliahidi watumiaji kupasua matoleo ya programu maarufu, kama vile programu za Adobe na zana mbalimbali za kuhariri picha na video. Programu hasidi ilifichwa nyuma ya majina ya faili za jumla kama vile “Mipangilio,” “Kisakinishi,” na “Sasisha.” Kundi hili hili la shughuli pia lililenga watumiaji wa Windows na Lumma Stealer maarufu. Kampeni zilizosalia zilieneza Banshee kupitia tovuti za kuhadaa ili kupata maelezo ya kibinafsi, za namna moja au nyingine. Katika matukio haya, washambuliaji walificha programu hasidi kama programu mbalimbali maarufu, ikiwa ni pamoja na Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT, na Telegram. Ikiwa mgeni alikuwa anatumia macOS, wangepata kiunga cha kupakua. Zaidi, kampeni tofauti zinaweza kuwa njiani, kwa vile Banshee imefichuliwa. Kwa hivyo, Terefos anasema, “Licha ya macOS kuzingatiwa kuwa salama zaidi, mafanikio ya Banshee yanaonyesha umuhimu kwa watumiaji wa MacOS kubaki macho na kufahamu vitisho.” URL ya Chapisho Asilia: https://www.darkreading.com/threat-intelligence/banshee-malware-steals-apple-encryption-macs