A Check Point Research (CPR), divisão de Inteligência em Ameaças Check Point Software Technologies, descobriu uma nova versão do infostealer Banshee Stealer para macOS, inicialmente relatada no final de 2024. Uma das inovações observadas na versão mais recente foi a introdução de criptografia de sequência de caracteres (strings), retirada do XProtect da Apple. Isso provavelmente fez com que os sistemas de detecção de antivírus ignorassem o malware, tornando-o uma ameaça mais potente para os usuários.
CONTEÚDO RELACIONADO: Novas medidas de segurança para pagamentos com cartões devem ser implementadas até março
O malware Banshee Stealer tem como alvo uma ampla gama de dados pessoais, expondo dados críticos e incluindo credenciais de carteiras de criptomoedas. As carteiras populares em dispositivos macOS, como Trust Wallet, MetaMask e Coinbase Wallet, estão entre os principais alvos. De acordo com um relatório da Dune Analytics, a Trust Wallet conta com cerca de 170 milhões de usuários em todo o mundo, com aproximadamente 2,5 milhões de novos usuários a cada mês.
A funcionalidade do Banshee Stealer revela uma sofisticação por trás dos malwares modernos. Uma vez instalado, este malware:
- Rouba dados do sistema: Alvo de navegadores como Chrome, Brave, Edge e Vivaldi, além de extensões de navegador para carteiras de criptomoedas. Explora uma extensão de autenticação em dois fatores (2FA) para capturar credenciais sensíveis. Também coleta detalhes de software e hardware, endereços IP externos e senhas do macOS.
- Engana os usuários: Utiliza pop-ups convincentes que se parecem com prompts legítimos do sistema para enganar os usuários e induzi-los a inserir suas senhas do macOS.
- Evita detecção: Emprega técnicas contra análises para escapar de ferramentas de depuração e mecanismos de antivírus.
- Exfiltra dados: Envia as informações roubadas para servidores de comando e controle por meio de arquivos criptografados e codificados.
Mac virou foco do cibercrime?
Embora o código-fonte do Banshee Stealer tenha vazado em novembro de 2024 e sua operação tenha sido oficialmente encerrada, os pesquisadores da CPR identificaram campanhas ativas distribuindo o malware por meio de sites de phishing. Para agravar a ameaça, uma nova versão do Banshee foi detectada, com capacidade de roubar dados sensíveis e informações de carteiras de criptomoedas de usuários de macOS.
A Check Point explica que esse interesse pelo Banshee se dá pelo crescimento de usuários de macOS, que hoje ultrapassam 100 milhões. Segundo a empresa, eles estão se tornando alvos prioritários para cibercriminosos e o aumento de ameaças sofisticadas como o Banshee macOS Stealer destaca a importância de atenção redobrada e medidas proativas de segurança cibernética.
Essa descoberta destaca o perigo contínuo de malwares cujo código foi vazado, que continuam alimentando ataques cibernéticos mesmo após o encerramento oficial de suas operações. À medida que cresce o uso de carteiras de criptomoedas em dispositivos macOS, torna-se ainda mais crucial que os usuários adotem medidas proativas de cibersegurança. Embora o XProtect forneça uma defesa valiosa, a sofisticação crescente dos malwares exige maior vigilância e camadas adicionais de segurança para proteger contra ameaças emergentes.
Além do perigo da ciberameaça, há o impacto para as empresas, as quais devem reconhecer os riscos mais amplos representados pelo malware moderno, incluindo violações de dados dispendiosas que comprometem informações confidenciais e prejudicam reputações, ataques direcionados a carteiras de criptomoedas que ameaçam ativos digitais e interrupções operacionais causadas por malware oculto que evita a detecção e causa danos a longo prazo antes de ser identificado.
Rússia não está mais protegida
Os pesquisadores da Check Point Software verificaram ainda que uma das mudanças significativas na versão mais recente do Banshee Stealer foi a remoção da verificação de idioma russo. Antes, o malware encerrava suas operações ao detectar configurações de idioma russo. Essa alteração indica uma mudança notável na estratégia de direcionamento, sugerindo que o malware agora está sendo utilizado por novos agentes de ameaça que não têm preocupação em atingir usuários russos.
Diferentemente dos operadores originais, que evitavam deliberadamente alvos na Rússia, esses novos grupos parecem não ter restrições geográficas ou políticas, ampliando ainda mais o alcance potencial do malware e intensificando sua ameaça global.
Participe das comunidades do IPNews no Instagram, Facebook, LinkedIn e X.

