9to5Mac Security Bite es exclusivamente para ti Mosyle, la única plataforma única de Apple. Todo lo que hacemos es hacer que los dispositivos Apple sean operativos y seguros para la empresa. Nuestro exclusivo enfoque integrado de gestión y seguridad combina las soluciones de seguridad más avanzadas de Apple con el MDM de Apple más potente y moderno para un endurecimiento y cumplimiento totalmente automatizados, EDR de próxima generación, confianza cero impulsada por IA y gestión de privilegios exclusiva. en el mercado. El resultado es una plataforma unificada de Apple totalmente automatizada en la que ahora confían más de 45.000 organizaciones para poner en funcionamiento millones de dispositivos Apple sin esfuerzo y de forma asequible. Solicite un PAQUETE DE PRUEBA EXTENDIDO hoy y comprende por qué Mosyle es todo lo que necesitas para trabajar con Apple.
Un nuevo informe de Check Point Research detalla cómo una nueva variante del popular malware de secuestro Banshee por parte de ciberdelincuentes de habla rusa está siguiendo las prácticas de seguridad de Apple para evitar la detección. El malware no fue detectado durante más de dos meses al combinar inteligentemente las mismas técnicas de cifrado que el paquete de detección antivirus XProtect de Mac.
Si eres un ávido lector Mordida de seguridadMe has escuchado decir (más de una vez) que el robo de malware, generalmente a través de modelos comerciales de malware como servicio (MaaS), es la mayor amenaza para los usuarios de Mac en este momento. Están dirigidos mortalmente a contraseñas del sistema, como contraseñas de iCloud Keychain, billeteras de criptomonedas, información confidencial en archivos e incluso cañones de iones ocultos de baja órbita. Los ciberdelincuentes suelen incorporar este código malicioso en aplicaciones aparentemente legítimas como estrategia para infectar máquinas.
Curiosamente, la variante recién descubierta de Banshee está haciendo algo que nunca había visto o que nunca había sabido que fuera posible. El malware efectivamente “robó” el algoritmo de cifrado de cadenas directamente del motor antivirus XProtect de Apple. Esta técnica, normalmente utilizada por Apple para protegerse contra las reglas YARA en los binarios de XProtect Remediator, ha sido modificada por el malware para ocultar el código malicioso de la detección. Hablo más sobre las reglas de YARA y XProtect aquí.
Debido a que los programas antivirus están acostumbrados a ver este tipo de cifrado en las herramientas de seguridad legítimas de Apple, no lo marcaron como sospechoso.
Esta estrategia utilizada por los autores del malware estuvo efectiva hasta noviembre de 2024, cuando sus afiliados filtraron el código fuente en foros clandestinos. Pronto, la mayoría de los motores antivirus de VirusTotal se actualizaron con nuevas firmas que podían detectar la nueva cepa. . Según el informe, los autores del malware cesaron sus operaciones el día después de que se filtró el código. Ha estado deambulando sin ser detectado durante al menos 2 meses.
“Los actores de amenazas han distribuido esta nueva versión principalmente a través de sitios web de phishing y malware. GitHub almacenes. En algunas campañas de GitHub, los actores de amenazas apuntaron a usuarios de Windows y MacOS con Lumma y Banshee Stealer”, según Check Point Research. Lumma es otro tipo común de malware de secuestro, pero está escrito y diseñado para usuarios de Windows.
Puede encontrar un análisis detallado del malware en Check Point. informe completo.
Más sobre la seguridad de Apple
Folvidar: Gorjeo/X, LinkedIn, Trapos
FTC: utilizamos enlaces de afiliados automáticos para generar ingresos. Más.
