15 января 2025 года команда исследователей Kandji обнаружила новый образец инфостилера на VirusTotal. Программа демонстрирует схожее поведение с «Banshee» и ориентирована на кражу данных из браузеров, криптокошельков и расширений. Однако новый вариант передаёт файлы на локальный хост, что может свидетельствовать о стадии тестирования или ранней разработки.
Исследователи провели детальный анализ кода. Одним из первых признаков сходства стало использование аналогичных имён функций в Rust-приложении и в утекшим коде «Banshee». Rust-компилятор добавляет уникальные идентификаторы к именам функций, но после их удаления сопоставление показало значительное совпадение. В частности, функция mac_os_stealer::main() в новом инфостилере использует механизм передачи аргументов при запуске, аналогичный тому, что применялся в оригинальном «Banshee».
В коде нового образца присутствует команда killall Terminal, идентичная той, что была найдена в утекшем Objective-C коде. Эта команда завершает работу терминала, возможно, скрывая следы вредоносной активности. Также в новом инфостилере реализована проверка на запуск в виртуальной машине с использованием команды
b"system_profiler SPHardwareDataType | grep 'Model Identifier'"
Если в результате проверки обнаруживается строка «Virtual», программа реагирует аналогично коду «Banshee».
Ещё одним интересным аспектом стало использование метода sysctl() для выявления работающего отладчика. Этот механизм применяется во многих инфостилерах и позволяет вредоносному ПО избегать анализа.
В ходе анализа исследователи установили, что инфостилер собирает информацию о системе, запуская несколько команд, определяющих версию ОС, тип оборудования и объем оперативной памяти. Затем программа создаёт временную директорию и вызывает функцию send_data(), подготавливая данные для передачи. В коде этой функции также обнаружены следы шифрования перед отправкой данных.
Интересно, что в этом варианте инфостилера конечная точка передачи данных настроена на 127.0.0.1:3030, что подтверждает гипотезу о тестировании программы. Такой подход обычно встречается в ранних стадиях разработки вредоносного ПО.
Дальнейший анализ показал, что инфостилер ориентирован на извлечение данных из браузеров, включая Chrome, Firefox, Microsoft Edge и Yandex. В коде также найдены идентификаторы расширений для работы с криптовалютными кошельками. Сравнение с утекшим кодом «Banshee» подтвердило их полное совпадение.
После извлечения данных программа сохраняет их в папке «Browsers», а информация о криптокошельках отправляется в директорию «Wallets». Эти файлы, вероятно, в дальнейшем пересылаются на сервер управления.
Исходя из полученных данных, можно с высокой долей уверенности сказать, что новый инфостилер на Rust является адаптированной версией «Banshee». Раскрытие подобных угроз подчёркивает важность непрерывного мониторинга и анализа вредоносного ПО. Злоумышленники адаптируются к новым условиям, поэтому методы защиты и выявления угроз должны развиваться с аналогичной скоростью.