Banshee Stealer: Malware macOS yang Targetkan Ekstensi Browser

Dalam perkembangan terbaru di dunia cyber security, para peneliti telah menemukan malware baru yang mengincar pengguna sistem operasi macOS milik Apple. Malware ini, yang dikenal dengan nama Banshee Stealer, memiliki kemampuan canggih yang membuatnya sangat berbahaya, terutama bagi mereka yang menggunakan berbagai aplikasi web dan dompet kripto. Banshee Stealer dijual di pasar gelap kejahatan siber dengan harga yang cukup tinggi, yaitu sekitar $3.000 per bulan, yang menunjukkan betapa seriusnya ancaman ini. Malware ini mampu beroperasi pada arsitektur prosesor x86_64 dan ARM64, menjadikannya ancaman bagi berbagai perangkat macOS yang berbeda.

Salah satu alasan utama Banshee Stealer dianggap sangat berbahaya adalah kemampuannya untuk menargetkan berbagai jenis browser dan dompet kripto. Beberapa browser yang menjadi target malware ini termasuk Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, dan OperaGX. Di sisi lain, dompet kripto yang juga menjadi sasaran antara lain Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic, dan Ledger. Dengan menargetkan lebih dari 100 ekstensi browser, Banshee Stealer mampu mencuri data penting pengguna dengan cara yang sangat efektif.

Namun, kemampuan Banshee Stealer tidak berhenti di situ. Malware ini juga dilengkapi dengan fitur-fitur canggih yang memungkinkannya untuk mengumpulkan informasi dari sistem pengguna, termasuk kata sandi yang disimpan di iCloud Keychain dan Notes. Selain itu, Banshee Stealer juga dilengkapi dengan berbagai teknik anti-analisis dan anti-debugging. Teknik-teknik ini digunakan untuk mendeteksi apakah malware tersebut sedang berjalan di lingkungan virtual atau sandbox, yang sering digunakan oleh peneliti keamanan untuk menganalisis malware tanpa risiko menyebarkannya ke sistem nyata. Dengan kemampuan ini, Banshee Stealer dapat menghindari deteksi dan tetap tersembunyi dalam sistem pengguna untuk waktu yang lebih lama.

Malware ini juga menunjukkan tingkat kecanggihan lainnya dengan menggunakan API CFLocaleCopyPreferredLanguages untuk mengidentifikasi bahasa utama yang digunakan pada sistem target. Jika malware mendeteksi bahwa bahasa utama adalah Rusia, maka ia akan menghindari menginfeksi sistem tersebut. Teknik ini sering digunakan oleh malware untuk menghindari deteksi dan penegakan hukum dari otoritas di negara tertentu.

Sama seperti strain malware macOS lainnya, seperti Cuckoo dan MacStealer, Banshee Stealer juga memanfaatkan osascript untuk menampilkan prompt kata sandi palsu. Pengguna yang tidak curiga mungkin akan memasukkan kata sandi mereka, yang kemudian digunakan oleh malware untuk mendapatkan akses ke sistem dengan hak istimewa yang lebih tinggi.

Selain itu, Banshee Stealer juga memiliki kemampuan untuk mencari dan mengumpulkan data dari file dengan ekstensi tertentu yang disimpan di folder Desktop dan Documents. File dengan ekstensi .txt, .docx, .rtf, .doc, .wallet, .keys, dan .key semuanya menjadi target malware ini. Data yang berhasil dikumpulkan kemudian dikompres menjadi file ZIP dan dikirim ke server jarak jauh yang dioperasikan oleh penyerang.

Peningkatan serangan terhadap pengguna macOS menunjukkan bahwa sistem operasi ini semakin menjadi target utama para pelaku kejahatan siber. Elastic Security Labs mencatat bahwa munculnya Banshee Stealer menyoroti tren yang semakin meningkat dari malware yang dirancang khusus untuk macOS. Hal ini memaksa pengguna macOS untuk lebih waspada terhadap ancaman yang mungkin mereka hadapi.

Tidak hanya Banshee Stealer, ancaman lain juga terus berkembang. Misalnya, Hunt.io dan Kandji yang baru-baru ini melaporkan strain stealer macOS lainnya yang menggunakan SwiftUI dan Open Directory APIs milik Apple untuk menangkap dan memverifikasi kata sandi yang dimasukkan oleh pengguna melalui prompt palsu yang ditampilkan untuk menyelesaikan proses instalasi. Malware ini mulai menyebar dengan menjalankan dropper berbasis Swift yang menipu pengguna untuk memasukkan kredensial mereka, yang kemudian diverifikasi dan digunakan untuk mendownload serta menjalankan skrip berbahaya dari server command-and-control.

Seiring dengan meningkatnya ancaman terhadap sistem macOS, ancaman serupa juga berkembang di platform Windows. Misalnya, stealer baru seperti Flame Stealer telah muncul, sementara situs palsu yang mengklaim sebagai alat Artificial Intelligence (AI) dari OpenAI, Sora, digunakan untuk menyebarkan malware Braodo Stealer. Bahkan di Israel, pengguna kini menjadi target email phishing yang berisi lampiran arsip RAR yang menyamar sebagai Calcalist dan Mako untuk menyebarkan Rhadamanthys Stealer.

Dengan meningkatnya serangan siber yang menargetkan berbagai platform, pengguna di seluruh dunia diimbau untuk meningkatkan kewaspadaan dan menjaga keamanan data mereka dengan lebih baik.