Banshee Stealer: macOS-Malware zielt auf Browser-Daten sowie Krypto-Wallets

Die Schadsoftware namens Banshee Stealer sammelt systematisch sensible Daten von infizierten Macs – sofern User Ihr Kennwort preisgeben.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen

(Bild: solarseven/Shutterstock.com, Screenshot: Alex Kleber auf Twitter)

Lesezeit: 3 Min.

Seit August 2024 wird die Malware "Banshee Stealer" fĂĽr macOS in Untergrundforen angeboten. Das berichteten am Donnerstag Sicherheitsforscher von Elastic Security Labs, einer Abteilung von Elastic, das fĂĽr Such- und Datenanalyseprodukte wie Elasticsearch bekannt ist.

Einem Screenshot zufolge können Cyberkriminelle die Malware als Dienstleistung für 3.000 US-Dollar pro Monat mieten. Laut Einschätzung von Elastic liegt der Preis damit deutlich höher als für vergleichbare Windows-Malware wie AgentTesla. Daraus ließe sich eine steigende Nachfrage nach macOS-Malware schließen.

Die Forscher vermuten russische Akteure als Urheber von Banshee, weil sich bei einer Analyse zeigte, dass die Infektion abgebrochen wird, falls Russisch als Systemsprache eingestellt ist. Auch in einer virtuellen Maschine bleibt Banshee untätig.

Ähnlich der bekannten Malware MacStealer nutzt auch Banshee Stealer den Shell-Befehl "osascript" und ein AppleScript, um eine gefälschte – vermeintlich legitime – Passwortaufforderung anzuzeigen. Diese soll Benutzer dazu verleiten, das Systempasswort einzugeben, um der Malware weitreichende Privilegien zu verschaffen. Banshee nutzt also keine Lücken in macOS selbst aus.

Die Malware sammelt zahlreiche Systeminformationen zur Hardware und installierter Software. Zudem erfasst sie die Datenbank der Notizen-App, einige Dateiformate auf dem Schreibtisch und im Ordner Dokumente sowie Safari-Cookies. Bei neun weiteren Browsern – etwa Firefox, Chrome, Edge und Brave – greift sich Banshee der Analyse zufolge neben Cookies zusätzlich etwa den Surfverlauf, Logins sowie Daten von rund 100 Browser-Extensions.

Auch der Anmeldeschlüsselbund (login.keychain-db) ist Teil der Beute. Da dieser in der Regel mit dem (zuvor erbeuteten) Benutzerkennwort geschützt ist, gelangen die Kriminellen somit auch an die darin gespeicherten Passwörter. Der separat abgesicherte iCloud-Schlüsselbund (oder der Bereich „Lokale Objekte“) bleibt offenbar mangels Erfolgsaussicht verschont. Darin speichert beispielsweise Safari die Zugangsdaten zu Websites und auch Passkeys legt das System dort ab.

Banshee Stealer kopiert auĂźerdem Daten der Krypto-Wallets Atomic, Coinomi, Electrum, Exodus, Guarda, Ledger und Wasabi Wallet.

Die Forscher halten Banshee zwar nicht für übermäßig komplex, doch die Fülle der gesammelten und an einen Command-and-Control-Server geschickten Daten sei beachtlich.

Unklar ist bislang, wie weit die Malware bereits im Umlauf ist und auf welchen Wegen sie an die potenziellen Opfer gelangt.

Elastic hat in dem Bericht eine Yara-Regel veröffentlicht, um Banshee Stealer zu erkennen. Diese lässt sich im Open-Source-Tool Yara (siehe auch "Malware-Signaturen mit Yara selbst schreiben" auf heise online) und mit Anti-Viren-Software verwenden. Auch das in macOS integrierte XProtect nutzt Yara-Regeln. Stand heute (17.8.2024) hat Apple hier noch keine Aktualisierung ausgeliefert. Manuell ergänzen kann man die Regeln unserer Kenntnis nach nicht. Mac-User müssen hier also warten, bis Apple tätig wird.

Das Risiko ist jedoch überschaubar, da Banshee keine Sicherheitslücken ausnutzt und auf den Faktor Mensch setzt. So gelten als Schutzmaßnahme die üblichen Ratschläge: Stellen Sie sicher, dass Downloads aus legitimen Quellen stammen und seien Sie vorsichtig bei unerwarteten E-Mail-Anhängen oder unangekündigt per Messeneger zugestellten Dateien. Wenn Software Sie zur Eingabe des Benutzerkennworts auffordert, überlegen Sie, ob sie die damit eingeräumten Rechte wirklich benötigt. Konsultieren Sie im Zweifel die Dokumentation, fragen direkt beim Entwickler nach oder ziehen eine erfahrenere Person zurate.

(wre)