Un nuovo e più avanzato malware specifico per macOS, noto come Banshee Stealer, è stato identificato dagli esperti di sicurezza informatica. Questo malware, ritenuto inattivo dopo la diffusione del suo codice sorgente alla fine del 2024, ha riemergere con tecniche di crittografia ispirate al sistema XProtect di Apple, consentendogli di bypassare i sistemi antivirus. Secondo un'analisi di Check Point Research, questa nuova versione rappresenta una minaccia significativa per oltre 100 milioni di utenti macOS in tutto il mondo.

La nuova variante del malware è stata scoperta a settembre 2024 e viene distribuita tramite siti di phishing e falsi repository su GitHub, mascherandosi come software popolari come Google Chrome, Telegram e TradingView. Banshee Stealer, documentato per la prima volta nell'agosto del 2024, è offerto come un servizio di malware-as-a-service (MaaS) a cybercriminali per 3.000 dollari al mese, permettendo di sottrarre dati da browser web, portafogli di criptovalute e file con specifiche estensioni.

Un elemento distintivo di questa nuova variante è l'eliminazione di un controllo della lingua russa, che in passato impediva l'infezione di Mac con impostazioni di sistema in russo. Questa modifica suggerisce che i criminali informatici intendono ampliare il proprio raggio d'azione, colpendo un numero maggiore di potenziali vittime.

Inoltre, il malware utilizza ora un algoritmo di crittografia derivato dal motore antivirus XProtect di Apple per offuscare le stringhe di testo originale, rendendo più difficile il rilevamento per gli antivirus. Eli Smadja, manager del gruppo di ricerca sulla sicurezza di Check Point, sottolinea che le campagne malware moderne sfruttano vulnerabilità umane comuni, non solo quelle specifiche della piattaforma, e che macOS, come qualsiasi altro sistema operativo, è esposto a queste minacce in evoluzione.

Parallelamente, si osserva un aumento dell'uso dei messaggi non richiesti su Discord per diffondere varie famiglie di malware stealer, tra cui Nova Stealer, Ageo Stealer e Hexon Stealer, sotto il pretesto di testare nuovi videogiochi. Un interesse primario di questi stealer sembra essere l'acquisizione delle credenziali di Discord, che possono essere utilizzate per espandere la rete di account compromessi.