Der Banshee Information Stealer: Die neue Gefahr für Macs
- Lesezeit:
- 7 min
- Was ist Stealerware?
- Was ist der Banshee-Stealer?
- Schutz vor Account-Kompromittierung durch veröffentlichte Zugangsdaten
- Fazit
Was ist Stealerware?
Banshee gehört zur Kategorie der Stealerware – einer speziellen Art von Schadsoftware, die sich durch ihren heimlichen und zielgerichteten Datenklau auszeichnet. Doch was genau unterscheidet Stealerware von anderen Arten von Malware, und warum stellt sie eine so große Gefahr dar?
Unter Stealerware (oder auch Information Stealer) versteht man eine Klasse von Malware, die darauf spezialisiert ist, bestimmte Daten aus einem infizierten Gerät herauszulesen und an die Urheber der Malware zu übermitteln. Anders als zum Beispiel viele Arten von Ransomware, die sich an einem bestimmten Punkt (also spätestens, bei der vollständigen Verschlüsselung) bemerkbar machen, agiert Stealerware besonders effizient, wenn sie unbemerkt im Hintergrund arbeitet. Insbesondere, wenn das befallene System lange infiziert ist, können viele Daten gesammelt werden.
Stealerware bleibt in der Regel unentdeckt und sammelt kontinuierlich sensible Daten. Dazu zählen Hardwareinformationen, Screenshots, IP-Adressen, Cookies und weitere persönliche Daten. Besonders gefährlich ist der Zugriff auf Passwortmanager, bei dem hochsensible Daten wie die URLs von Diensten, Benutzernamen und Passwörter gestohlen werden. Diese Daten können direkt für den unautorisierten Zugang zu Accounts verwendet werden, was gravierende Folgen für die Betroffenen hat.
Die von Stealerware ausgelesenen hochqualitativen Daten übermittelt sie im Hintergrund an den Angreifer. Die erbeuteten Daten können leicht verwendet werden, um sich in einen entsprechenden Account einzuloggen und Daten, Guthaben oder weitere Zugänge zu erlangen. Der eigentliche Angreifer verwendet die Daten häufig jedoch gar nicht selbst, um sich in entsprechende Accounts einzuloggen oder andere Angriffe zu starten. Meist werden erbeutete Daten auf Online-Handelsplätzen im Darknet verkauft oder getauscht. Durch die Aktualität und Qualität der Daten haben diese dort einen entsprechend gehobenen Wert.
Ein besonders bekanntes Beispiel für Stealerware war die sogenannte RedLine, die erstmals 2020 beobachtet wurde. Das obige Bild zeigt einen Screenshot einer von Redline zusammengetragenen Datensammlung - ein sogenanntes Stealer Log - und vermittelt einen guten Eindruck von der Datenqualität der durch Redline ausgelesenen Daten.
Was ist der Banshee-Stealer?
Der Banshee-Stealer ist eine neue Stealerware, die ganz gezielt für die Infizierung von Apple Produkten, insbesondere von Macs geschrieben wurde. Sie wurde zum ersten Mal am 15. August von Wissenschaftlern von Elastic Security Lab gemeldet und auch so benannt.
Was sammelt der Banshee-Stealer?
Banshee sammelt jede Menge Systeminformationen zur Hardware und installierten Software. Außerdem hat sie Zugriff auf die Datenbank der Notizen-App, einige Dateiformate auf dem Schreibtisch und im Ordner “Dokumente” sowie Safari-Cookies. Bei einigen anderen Browsern – etwa Firefox, Chrome und Brave – greift sich Banshee neben Cookies auch den Surfverlauf, Logins sowie Daten von rund 100 Browser-Extensions ab. Banshee zeigt zudem ein besonderes Interesse an Krypto-Wallets, was die zunehmende Gefahr für Nutzer digitaler Währungen verdeutlicht. Der Verlust von Zugriffsdaten zu Wallets kann schwerwiegende finanzielle Konsequenzen nach sich ziehen.
Warum Cookies?
Eine bestimmte Art von Cookies, die sogenannten Session-Cookies merken sich, wann ein Nutzer eine authentifizierte Sitzung bei einem Anbieter hatte. Solche Cookies haben in der Regel eine begrenzte Ablaufzeit. Innerhalb dieser Zeit kann man aber meist durch das einfache Laden eines gestohlenen Session-Cookies in den eigenen Browser eine laufende Session bei einem Anbieter übernehmen. Selbst wenn ein zweiter Faktor bei dem entsprechenden Anbieter eingestellt ist, kann häufig mit einem Session-Cookie eine entsprechende Sitzung übernommen werden. Das macht Cookies in den falschen Händen zu einer sehr gefährlichen Möglichkeit für die Übernahme eines Accounts.
Wo kommt der Banshee-Stealer her?
Es wird vermutet, dass der Banshee-Stealer aus Russland stammt, basierend auf der Tatsache, dass die Infektion abbricht, sobald die Systemsprache auf Russisch eingestellt ist. Diese Vorgehensweise wird häufig bei Schadsoftware aus bestimmten Regionen beobachtet, um lokale Nutzer zu verschonen. Dennoch bleibt dies eine spekulative Annahme.
Laut eines über X/Twitter veröffentlichten Screenshots kostet eine monatliche Lizenz für den Banshee-Stealer $3000. Dieser Preis liegt für Stealerware im oberen Bereich und deutet darauf hin, dass es eine wachsende Nachfrage nach spezialisierter Malware für Apple-Produkte gibt. Der hohe Preis könnte auf die Wirksamkeit und Spezialisierung von Banshee hindeuten, was die potenziellen Gefahren für Nutzer erhöht.
Wie funktioniert Banshee?
Banshee nutzt intensiv den Shell-Befehl ‘osascript’, ein Tool, das normalerweise über die Befehlszeile ausgeführt wird, um AppleScripts und JavaScript zu starten. Diese legitime Funktion wird von Banshee ausgenutzt, um nach der Eingabe des Systempassworts weitreichende Zugriffsrechte zu erhalten - dies umfasst auch die Freiheiten, sensible Daten auszulesen. Das heißt insbesondere, dass Banshee keine bekannten Sicherheitslücken in einem Apple-System ausnutzt: Banshee setzt auf die Legitimation durch den Benutzer.
Nutzer sollten sich daher bewusst sein, wann und wo sie ihr Systempasswort eingeben, insbesondere bei unerwarteten oder ungewöhnlichen Anfragen.
Wer ist gefährdet?
Banshee befällt lediglich macOS - PC-Nutzer sind vor dieser neuen Art von Schadsoftware schon mal nicht betroffen. Außerdem setzt diese neue Art von Schadsoftware auf eine Eingabe des Benutzers. Etwas misstrauischere oder etwas vorsichtigere Benutzer sind damit ebenfalls weniger durch diesen neuen Stealer bedroht. Insbesondere sind also macOS-User mit einer gering ausgeprägten Security-Awareness durch Banshee gefährdet.
Banshee und Stealerware
- Mit Stealerware bezeichnet man eine bestimmte Art von Schadsoftware, welche Daten aus dem befallenen Gerät ausliest und an den Urheber sendet.
- Banshee ist eine jüngst entdeckte Stealerware, die ausschließlich Macs befällt.
- Die Infektion eines Geräts nutzt keine bekannten Schwachstellen von Macs, sondern setzt ausschließlich auf den Faktor Mensch.
- Banshee sammelt Safari-Cookies, hat Zugriff auf die Datenbank der Notiz-App, sammelt Daten über Browser-Extensions von anderen Browsern und greift auf Krypto-Wallets zu.
Wie verbreitet sich Banshee und schützen Antiviren-Programme?
Die Entdeckung von Banshee ist noch recht neu, weswegen noch nicht genau geklärt ist, wie die Verbreitung funktioniert. Es wird aber vermutet, dass sich Banshee “ganz klassisch” durch Phishing-Links auf Scam-Seiten verbreitet. Leider gibt es zu Banshee noch keine Warnungen durch gängige Antiviren-Programme - der beste Schutz an dieser Stelle scheint daraus zu bestehen, sich genau zu überlegen, an welcher Stelle man sein Systempasswort eingibt.
Schutz vor Account-Kompromittierung durch veröffentlichte Zugangsdaten
Die Entdeckung von Banshee zeigt, wie wichtig es ist, sich vor den Risiken durch gestohlene Zugangsdaten zu schützen. Selbst wenn Unternehmen ihre Sicherheitsinfrastruktur umfassend absichern, bleibt das Risiko bestehen, dass Mitarbeiter- und Kundenaccounts durch wiederverwendete oder im Passwortmanager hinterlegte Passwörter gefährdet werden. Hier kommt Identeco ins Spiel.
Identeco sammelt geleakte Zugangsdaten aus verschiedenen Quellen im Internet und stellt diese Unternehmen zur Verfügung, um sie mit ihren eigenen Benutzerkonten abzugleichen. So können potenziell kompromittierte Konten identifiziert und gesichert werden, bevor Kriminelle sie missbrauchen. Dies ergänzt die Sicherheitsmaßnahmen, die auf der eigenen Plattform umgesetzt werden, und bietet einen zusätzlichen Schutz, ohne die Datenschutzanforderungen zu verletzen.
Privatanwender können den kostenlosen Leakchecker der Uni Bonn verwenden, um sich über ihre persönliche Bedrohungslage durch gestohlene und im Deep und Darknet veröffentlichte Zugangsdaten zu informieren. Identifizierte Zugangsdaten und Accounts sollten umgehend gesichert werden. Einmal veröffentlichte Passwörter sollten an allen Stellen geändert und zukünftig nicht mehr verwendet werden.
Fazit
Stealerware ist eine gefährliche Art von Schadsoftware, die unbemerkt sensible Daten von infizierten Geräten stiehlt und an die Urheber übermittelt. Im Gegensatz zu Ransomware bleibt Stealerware oft lange unerkannt, was den Datendiebstahl besonders effektiv macht.
Der Banshee-Stealer ist ein neues Beispiel dieser Malware und zielt besonders auf macOS ab. Dabei nutzt Banshee keine Sicherheitslücken von macOS aus, sondern verschafft sich durch die Eingabe des Systempassworts durch den Benutzer Zugang zu dem System. Dadurch sind macOS-User mit geringer Sicherheitsbewusstheit besonders anfällig für Banshee.
Um sich vor Banshee zu schützen, sollten Nutzer besonders wachsam bei der Eingabe ihres Systempassworts sein, vor allem auf unbekannten oder verdächtigen Websites sowie bei unklaren Aufforderungen im vermeintlich regulären Betrieb. Es empfiehlt sich, die eigene Sicherheitsbewusstheit zu schärfen, regelmäßig Sicherheitsupdates durchzuführen und gegebenenfalls spezialisierte Anti-Malware-Tools zu nutzen. Mit Identeco können Unternehmen automatisiert Zugangsdaten ihrer Mitarbeiter und Kunden auf Bedrohungen durch geleakte Zugangsdaten prüfen und sogar proaktiv schützen. Privatanwendern ist eine regelmäßige Analyse mittels des Leakchecker der Uni Bonn empfohlen um schnell Bedrohungen identifizieren und betroffene Accounts absichern zu können.
Artikel teilen