Banshee恶意软件利用XProtect加密逃避检测窃取macOS敏感数据

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Banshee恶意软件利用XProtect加密逃避检测窃取macOS敏感数据

宣布时间 2025-01-13

1. Banshee恶意软件利用XProtect加密逃避检测窃取macOS敏感数据

1月9日，过去两个月，macOS系统的Banshee信息窃取恶意软件泛起了新版本，接纳Apple XProtect的字符串加密技术逃避检测。Banshee是一种窃取即服务，网络犯罪分子可以付费获得。其源代码于2024年11月泄露，导致项目关闭，但也为其他开发人员提供了革新机会。新版本通过扰乱字符串并在执行期间解密，以及针对macOS和第三方反恶意软件工具对特定加密技术的低怀疑度，逃避了尺度静态检测要领。Banshee主要通过欺骗性的GitHub存储库流传，针对macOS用户，同时也使用Lumma Stealer针对Windows用户。该恶意软件的目标是窃取存储在流行浏览器中的数据，如密码和双因素身份验证扩展，以及收集主机的基本系统和网络信息，并提供欺骗性登录提示以窃取macOS密码。尽管Banshee运营自11月以来停滞，但源代码泄露后，多个网络钓鱼活动仍在流传该恶意软件。

https://www.bleepingcomputer.com/news/security/banshee-stealer-evades-detection-using-apple-xprotect-encryption-algo/

2. STIIIZY大麻药房数据泄露事件，Everest团伙被指为幕后黑手

1月11日，加利福尼亚州的大型大麻药房STIIIZY近期遭遇了一次严重的数据泄露事件，导致从该公司旧金山、阿拉米达和莫德斯托店肆购置产物的主顾个人信息被非法获取。泄露的信息包罗身份证、护照、医用大麻卡、照片以及姓名、年龄、地址等个人资料，还有交易历史等敏感信息。STIIIZY在网站上宣布了违规通知，并向加州监管机构提交了相关文件。据悉，这次攻击是由一个有组织的网络犯罪集团提倡的，他们在2024年10月10日至11月10日期间通过销售点处置服务供应商的系统获取了客户信息。Everest网络犯罪团伙声称对此次攻击卖力，并声称窃取了422,075条个人记录。尽管部门客户获得了免费信用监控服务，但服务期限未果然。勒索软件专家指出，Everest团伙以勒索受害者而闻名，他们擅长利用弱凭证、未修补的漏洞和网络钓鱼攻击等手段来获取未经授权的访问权限，并通过加密通信渠道和宁静要领来掩盖其活动。

https://therecord.media/marijuana-dispensary-warns-of-data-breach

3. Telefónica内部票务系统遭黑客入侵，2.3GB数据被盗泄露

1月10日，西班牙跨国电信公司Telefónica证实，其内部票务系统遭到黑客入侵，部门数据已在黑客论坛上泄露。Telefónica是西班牙最大的电信公司，以Movistar品牌运营，业务遍及12个国家，拥有凌驾104,000名员工。攻击者利用泄露的员工凭证入侵了公司的Jira开发和票务服务器，该服务器用于陈诉和解决内部问题。据称，攻击者抓取了约莫2.3 GB的文档、票据和种种数据，虽然一些数据被标志为客户，但可能是以客户名义开具的。Telefónica已接纳须要措施阻止任何未经授权的系统访问，并在受影响的账户上重置了密码。此次攻击背后的三人也是最近提倡的勒索软件行动“Hellcat Ransomware”的成员，该团伙曾乐成入侵施耐德电气公司并窃取40GB数据。攻击者体现，他们在网上泄露数据之前，没有联系Telefónica或试图勒索他们。

https://www.bleepingcomputer.com/news/security/telefonica-confirms-internal-ticketing-system-breach-after-data-leak/

4. 斯洛伐克土地挂号处遭受史上最大网络攻击

1月11日，斯洛伐克本周早些时候遭受了历史上最大的网络攻击，目标是卖力管理土地和工业数据的斯洛伐克大地丈量、制图和地籍局(UGKK)。该局系统被勒索软件攻击后关闭，实体办公室也于周二关闭，攻击者索要数百万欧元的赎金。农业部长体现将通过备份恢复系统，并保证所有权数据没有更改或欺诈性转录的风险，但恢复可能需要数月时间。此次攻击对依赖土地挂号数据的行业发生了广泛影响，房地产和抵押贷款市场陷入瘫痪，相关公共服务也无法获得。同时，斯洛伐克和乌克兰之间的紧张局势正在加剧，斯洛伐克民族主义政党呼吁外交部长召见乌克兰大使讨论此事。此次攻击的具体来源尚未确定，但斯洛伐克方面有强烈迹象表明攻击源自乌克兰。

https://therecord.media/slovakia-registry-cyberattack-land-agriculture

5. Proton全球服务中断：Kubernetes迁移与软件更改致负载激增

1月10日，隐私�；し裉峁┥蘌roton周四遭遇全球范围的大规模服务中断，此次中断是由于正在进行的基础设施向Kubernetes迁移以及软件更改所引发的初始负载激增所致。事件始于美国东部时间上午10点左右，导致用户无法连接到Proton的VPN、Mail、Calendar、Drive、Pass和Wallet等服务。受影响的用户在实验连接时会收到错误消息，指出无法加载页面。经过约莫两小时的努力，所有服务陆续恢复正常，其中Proton Mail和Calendar是最后恢复的服务。Proton在对事件进行视察后透露，此次中断是由站点可靠性工程团队发现的软件更改所引发的。该更改限制了数据库服务器的新连接数量，导致在连接用户数量急剧增加时泛起负载峰值，进而使基础设施超负荷。虽然Proton拥有足够的特别容量来处置新连接，但向Kubernetes的迁移需要同时运行两个并行基础设施，使得平衡负载变得困难。因此，在恢复过程中，用户遇到了性能下降和间歇性服务不行用的情况。

https://www.bleepingcomputer.com/news/technology/proton-worldwide-outage-caused-by-kubernetes-migration-software-change/

6. 网络犯罪分子诱骗用户重新启用iMessage禁用链接实施钓鱼攻击

1月12日，网络犯罪分子近期接纳了一种新技巧，通过诱骗用户操作，关闭了Apple iMessage内置的短信网络钓鱼�；すπ�。随着移动设备在日常生活中的广泛应用，手机号码成为短信网络钓鱼攻击的重点目标。为�；び没�，iMessage默认禁用未知发件人消息中的链接。然而，苹果指出，一旦用户回复此类消息或将发件人加入联系人列表，这些链接就会被重新启用。BleepingComputer视察到，近几个月来，短信网络钓鱼攻击数量显著增加，攻击者通过诱导用户回复短信（如回复“Y”）来重新启用链接。此类短信通常伪装成USPS运输问题或未付门路通行费等诱饵，要求用户执行特定操作以激活链接。这种计谋利用了用户习惯确认或拒绝短信的心理，使他们成为易受攻击的目标。即使未点击链接，回复行为自己也会袒露用户的易感性，使其面临更大风险。因此，面对链接被禁用或来自未知发件人的要求回复的短信，用户应保持警惕，直接联系相关公司或组织进行验证，而非轻易回复。特别是老年用户，他们往往是此类网络钓鱼信息的主要目标，需谨慎看待，以免泄露个人信息。

https://www.bleepingcomputer.com/news/security/phishing-texts-trick-apple-imessage-users-into-disabling-protection/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究