Desde julio de 2024, el malware Banshee ha estado propagándose silenciosamente principalmente a través de mercados clandestinos rusos donde se comercializa como un servicio de “stealer-as-a-service” por $1,500 dólares americanos. Está diseñado para robar credenciales almacenadas en navegadores populares como Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex y Opera. Además, apunta a extensiones de navegador relacionadas con billeteras de criptomonedas, como Ledger, Atomic, Wasabi, Guarda, Coinomi, Electrum y Exodus.

Este malware malicioso no solo se limita a credenciales y datos financieros, también extrae información clave de los sistemas infectados, tales como especificaciones de hardware y software, y las contraseñas necesarias para desbloquear el dispositivo.

Inicialmente, Banshee era fácilmente detectable debido a que su código estaba completamente expuesto en texto plano; sin embargo, todo cambió en septiembre de 2024, cuando investigadores de Check Point identificaron una variante más avanzada. Esta nueva versión, protegida por un algoritmo de cifrado inspirado en el sistema XProtect de Apple, logró eludir las detecciones de los principales programas antivirus durante meses.

¿Cómo toma ventaja en XProtect de Apple?

XProtect es el motor antimalware de Apple, utilizado en macOS desde hace más de 15 años. Su tecnología combina diversas herramientas de detección como las reglas YARA, para identificar patrones y firmas asociados con amenazas conocidas.

Según el informe de Check Point, el creador de Banshee —conocido en el ámbito del cibercrimen como “0xe1” o “kolosain”— habría replicado el algoritmo de cifrado que protege las reglas YARA de XProtect. Aún no está claro cómo obtuvo este conocimiento, pero podría haber sido mediante ingeniería inversa de los binarios de XProtect o a través de documentación técnica accesible.

El impacto fue inmediato. Mientras que sus primeras versiones eran detectadas fácilmente en plataformas como VirusTotal, la nueva variante pasó desapercibida para los más de 65 motores antivirus integrados en dicha plataforma.

Esta situación se mantuvo hasta noviembre de 2024, cuando el código fuente de Banshee fue filtrado en un foro cibernético ruso llamado “XSS”. Esto provocó el cierre de la operación de malware como servicio (MaaS) de “0xe1”, pero incluso después de la filtración, muchas versiones de este software con cifrado avanzado seguían siendo ignoradas por la mayoría de los antivirus.

Modos de propagación: ¿cómo infecta a sus víctimas?

Desde finales de septiembre, Check Point ha rastreado más de 26 campañas diferentes que lo propagan. Estas campañas se dividen en dos estrategias principales:

  1. Repositorios falsos en GitHub: los ciberdelincuentes distribuyeron Banshee a través de repositorios que ofrecían supuestas versiones “crackeadas” de software popular, como aplicaciones de Adobe y herramientas de edición de imágenes y video. Los archivos maliciosos se ocultaban bajo nombres genéricos como “Setup”, “Installer” y “Update.” En estas campañas, también se incluyó el malware Lumma Stealer para atacar usuarios de Windows.
  2. Sitios de phishing: otras campañas emplearon sitios fraudulentos que imitaban programas populares como Google Chrome, TradingView, Zegent, Parallels, CryptoNews y Telegram. Si el visitante utilizaba macOS, se le proporcionaba un enlace de descarga del malware disfrazado de software legítimo.

La filtración del código fuente de este software malicioso podría dar lugar a nuevas variantes y campañas aún más sofisticadas. Esto subraya un punto clave: aunque macOS tiene fama de ser más seguro que otros sistemas operativos, Banshee demuestra que ninguna plataforma es completamente inmune a las amenazas.

“El éxito de Banshee nos recuerda la importancia de mantenerse alerta y consciente de los riesgos, incluso en sistemas que se perciben como más seguros…” mencionó Antonis Terefos —investigador de Check Point. Es por este motivo que vale mucho la pena ser escrupulosos en verificar que los sitios y repositorios de donde se obtiene el software en nuestras computadoras sean legítimos y únicamente cuenten con el respaldo de los fabricantes.

Referencias:

Infobae. (2025, January 9). Identifican una versión avanzada del malware Banshee Stealer para macOS que burla su antivirus y roba información. Recuperado de https://www.infobae.com/america/agencias/2025/01/09/identifican-una-version-avanzada-del-malware-banshee-stealer-para-macos-que-burla-su-antivirus-y-roba-informacion/

Check Point. (2025, January 9). Cracking the code: How Banshee Stealer targets macOS users. Recuperado de https://blog.checkpoint.com/research/cracking-the-code-how-banshee-stealer-targets-macos-users/

Help Net Security. (2025, January 9). Banshee Stealer variant targets Russian-speaking macOS users. Recuperado de https://www.helpnetsecurity.com/2025/01/09/banshee-stealer-variant-targets-russian-speaking-macos-users/

Dark Reading. (2025, January 9). Banshee malware steals Apple encryption, targets Macs. Recuperado de https://www.darkreading.com/threat-intelligence/banshee-malware-steals-apple-encryption-macs