Pesquisadores de segurança cibernética descobriram uma nova e mais furtiva versão do malware Banshee Stealer, focado em macOS, que utiliza criptografia avançada inspirada no XProtect, sistema antivírus da Apple. Após o vazamento de seu código-fonte no final de 2024, acreditava-se que o malware estava inativo. No entanto, a Check Point Research identificou uma nova versão em setembro do mesmo ano. Esta variante é distribuída por sites de phishing e repositórios falsos no GitHub, disfarçada como softwares populares como Google Chrome, Telegram e TradingView.

Originalmente documentado em agosto de 2024 pela Elastic Security Labs, o Banshee Stealer foi oferecido como “malware como serviço” (MaaS) por US$ 3.000 mensais. Ele é projetado para roubar dados de navegadores, carteiras de criptomoedas e arquivos específicos. Apesar do vazamento que impactou suas operações em novembro, campanhas continuam distribuindo o malware, embora não esteja claro se os responsáveis são antigos clientes. A nova variante trouxe mudanças significativas, incluindo a remoção de um bloqueio que evitava a infecção de Macs configurados com o idioma russo, sugerindo uma expansão no alvo global. Além disso, utiliza um algoritmo de criptografia inspirado no XProtect da Apple, dificultando a detecção por sistemas antivírus.

Eli Smadja, da Check Point Research, destacou que “campanhas modernas de malware exploram vulnerabilidades humanas comuns, e não apenas falhas específicas de plataforma”. Ele também enfatizou como macOS está exposto a ameaças avançadas, como engenharia social e atualizações de software falsas. Esse cenário coincide com a disseminação de outras famílias de malware, como Nova Stealer e Hexon Stealer, por mensagens não solicitadas no Discord. Essas campanhas buscam principalmente credenciais do Discord, que podem ser usadas para expandir redes de contas comprometidas e roubar informações de contatos das vítimas.