{"id":23400,"date":"2025-02-20T11:49:59","date_gmt":"2025-02-20T14:49:59","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23400"},"modified":"2025-12-11T10:31:47","modified_gmt":"2025-12-11T13:31:47","slug":"banshee-stealer-targets-macos-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/","title":{"rendered":"Banshee: um malware de roubo de dados que persegue usu\u00e1rios do macOS"},"content":{"rendered":"<p>Muitos usu\u00e1rios do macOS acreditam que o sistema operacional est\u00e1 imune a malwares, ent\u00e3o, n\u00e3o \u00e9 necess\u00e1rio adotar nenhuma precau\u00e7\u00e3o de seguran\u00e7a complementar. Na realidade, essa cren\u00e7a est\u00e1 longe de ser verdadeira, e novas amea\u00e7as continuam surgindo.<\/p>\n<h2>Existem v\u00edrus para macOS?<\/h2>\n<p>Sim, e muitos! Aqui est\u00e3o alguns exemplos de malwares para Mac que mencionamos anteriormente nas publica\u00e7\u00f5es dos blogs Kaspersky Daily e Securelist:<\/p>\n<ul>\n<li>Um <a href=\"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/\" target=\"_blank\" rel=\"noopener\">Trojan<\/a> que rouba criptomoedas disfar\u00e7ado como vers\u00f5es piratas de aplicativos populares para macOS.<\/li>\n<\/ul>\n<div id=\"attachment_23402\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20102028\/banshee-stealer-targets-macos-users-1.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23402\" class=\"wp-image-23402 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20102028\/banshee-stealer-targets-macos-users-1-1024x983.jpg\" alt=\"A instala\u00e7\u00e3o do Trojan no macOS\" width=\"1024\" height=\"983\"><\/a><p id=\"caption-attachment-23402\" class=\"wp-caption-text\">A carga maliciosa deste Trojan \u00e9 armazenada no \u201cativador\u201d. O aplicativo crackeado n\u00e3o funcionar\u00e1 at\u00e9 ser iniciado.<a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">Fonte<\/a><\/p><\/div>\n<ul>\n<li>Outro Trojan que <a href=\"https:\/\/www.kaspersky.com.br\/blog\/macos-users-cyberthreats-2023\/22094\/\" target=\"_blank\" rel=\"noopener\">rouba criptomoedas<\/a>, disfar\u00e7ado como um documento PDF intitulado \u201cCriptoativos e seus riscos para a estabilidade financeira\u201d.<\/li>\n<li>Um Trojan que usava Macs infectados para criar uma <a href=\"https:\/\/securelist.com\/trojan-proxy-for-macos\/111325\/\" target=\"_blank\" rel=\"nofollow noopener\">rede de servidores proxy ilegais<\/a> para rotear tr\u00e1fego malicioso.<\/li>\n<li>O Atomic Stealer, distribu\u00eddo como uma <a href=\"https:\/\/www.kaspersky.com.br\/blog\/macos-users-cyberthreats-2023\/22094\/\" target=\"_blank\" rel=\"noopener\">atualiza\u00e7\u00e3o falsa do Safari<\/a>.<\/li>\n<\/ul>\n<p>Poder\u00edamos continuar com a lista de amea\u00e7as passadas, mas vamos nos concentrar agora em um dos ataques mais recentes direcionados aos usu\u00e1rios do macOS, o malware de roubo de dados Banshee Stealer\u2026<\/p>\n<h2>O que o Banshee Stealer faz<\/h2>\n<p>O Banshee \u00e9 um malware de roubo de informa\u00e7\u00f5es completo. Esse tipo de malware procura dados valiosos no dispositivo infectado (no nosso caso, um Mac) para envi\u00e1-los aos criminosos que operam nos bastidores. O Banshee se concentra principalmente no roubo de dados relacionados a criptomoedas e blockchain.<\/p>\n<p>Veja o que o malware faz ao entrar no sistema:<\/p>\n<ul>\n<li>Rouba logins e senhas salvos em v\u00e1rios navegadores: Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex Browser e Opera.<\/li>\n<li>Rouba informa\u00e7\u00f5es armazenadas pelas extens\u00f5es do navegador. O malware de roubo de dados tem como alvo mais de 50 extens\u00f5es, sendo que a maioria delas est\u00e1 relacionada com as carteiras de criptomoedas, inclusive Coinbase Wallet, MetaMask, Trust Wallet, Guarda, Exodus e Nami.<\/li>\n<li>Rouba tokens 2FA armazenados na extens\u00e3o do navegador Authenticator.cc.<\/li>\n<li>Pesquisa e extrai dados de aplicativos de carteira de criptomoedas, inclusive Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic e Ledger.<\/li>\n<li>Coleta informa\u00e7\u00f5es do sistema e rouba a senha do macOS com a exibi\u00e7\u00e3o de uma janela de entrada de senha falsa.<\/li>\n<\/ul>\n<p>O Banshee compila todos esses dados cuidadosamente em um arquivo comprimido ZIP para criptograf\u00e1-los com uma cifra XOR simples e envi\u00e1-los ao servidor de comando e controle dos invasores.<\/p>\n<p>Nas vers\u00f5es mais recentes, os desenvolvedores do Banshee adicionaram a capacidade de ignorar o antiv\u00edrus integrado do macOS, o XProtect. Curiosamente, para evitar a detec\u00e7\u00e3o, o malware usa o mesmo algoritmo usado pelo XProtect para se proteger ao criptografar os segmentos-chave do c\u00f3digo e ao descriptograf\u00e1-los instantaneamente durante a execu\u00e7\u00e3o.<\/p>\n<h2>Como o Banshee Stealer se espalha<\/h2>\n<p>Os operadores do Banshee usavam principalmente o GitHub para infectar as v\u00edtimas. Como isca, eles fizeram upload de vers\u00f5es crackeadas de softwares caros, como Autodesk AutoCAD, Adobe Acrobat Pro, Adobe Premiere Pro, Capture One Pro e Blackmagic Design DaVinci Resolve.<\/p>\n<div id=\"attachment_23404\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20110235\/banshee-stealer-targets-macos-users-2.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23404\" class=\"wp-image-23404 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20110235\/banshee-stealer-targets-macos-users-2-1024x768.jpg\" alt=\"Distribui\u00e7\u00e3o do Banshee Stealer no GitHub \" width=\"1024\" height=\"768\"><\/a><p id=\"caption-attachment-23404\" class=\"wp-caption-text\">Os criadores do Banshee usaram o GitHub para espalhar o malware com o disfarce de software pirata. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fonte<\/a><\/p><\/div>\n<p>Geralmente, os invasores visavam usu\u00e1rios do macOS e do Windows ao mesmo tempo: o Banshee era frequentemente associado a um malware de roubo de dados do Windows chamado Lumma.<\/p>\n<p>Outra campanha do Banshee, descoberta ap\u00f3s o vazamento do c\u00f3digo-fonte desse malware de roubo de dados (mais detalhes abaixo), envolveu um site de phishing que oferecia aos usu\u00e1rios do macOS o download do \u201cTelegram Local\u201d, supostamente desenvolvido para garantir a prote\u00e7\u00e3o contra phishing e malware. \u00c9 claro que o arquivo baixado estava infectado. Curiosamente, usu\u00e1rios de outros sistemas operacionais sequer veriam o link malicioso.<\/p>\n<div id=\"attachment_23405\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20110818\/banshee-stealer-targets-macos-users-3.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23405\" class=\"wp-image-23405 size-large\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20110818\/banshee-stealer-targets-macos-users-3-1024x576.jpg\" alt=\"Banshee sendo espalhado por um site de phishing\" width=\"1024\" height=\"576\"><\/a><p id=\"caption-attachment-23405\" class=\"wp-caption-text\">Um site de phishing oferece o download do Banshee disfar\u00e7ado de \u201cTelegram Local\u201d, e apenas para usu\u00e1rios do macOS (\u00e0 esquerda). <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fonte<\/a><\/p><\/div>\n<h2>O passado e o futuro do Banshee<\/h2>\n<p>Agora, vamos resgatar a hist\u00f3ria do Banshee que, realmente, \u00e9 muito interessante. O malware apareceu pela primeira vez em julho de 2024. Os desenvolvedores fizeram a sua comercializa\u00e7\u00e3o como uma assinatura de malware como servi\u00e7o (MaaS) ao cobrar 3 mil d\u00f3lares por m\u00eas.<\/p>\n<p>Os neg\u00f3cios n\u00e3o devem ter ido muito bem, pois, em meados de agosto, eles reduziram o pre\u00e7o em 50%, ent\u00e3o a assinatura mensal foi para 1.500 d\u00f3lares.<\/p>\n<div id=\"attachment_23406\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20111054\/banshee-stealer-targets-macos-users-4.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23406\" class=\"wp-image-23406 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2025\/02\/20111054\/banshee-stealer-targets-macos-users-4.jpg\" alt=\"An\u00fancio do Banshee Stealer com desconto \" width=\"1024\" height=\"725\"><\/a><p id=\"caption-attachment-23406\" class=\"wp-caption-text\">Propaganda de site de hackers anunciando um desconto no Banshee: 1.500 d\u00f3lares em vez de 3 mil d\u00f3lares por m\u00eas. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fonte<\/a><\/p><\/div>\n<p>Em algum momento, os criadores mudaram a estrat\u00e9gia ou decidiram adicionar um programa de afiliados ao portf\u00f3lio. Eles come\u00e7aram a recrutar parceiros para campanhas conjuntas. Nessas campanhas, os criadores do Banshee forneceram o malware e os parceiros executaram o ataque real. A ideia dos desenvolvedores era dividir os ganhos em 50\/50.<\/p>\n<p>Contudo, algo deve ter dado muito errado. No final de novembro, o c\u00f3digo-fonte do Banshee vazou, al\u00e9m de ter sido publicado em um f\u00f3rum de hackers, o que provocou o encerramento da vida comercial do malware. Os desenvolvedores anunciaram que estavam saindo do neg\u00f3cio, mas n\u00e3o antes de tentar vender o projeto inteiro por 1 BTC, e depois por 30 mil d\u00f3lares (provavelmente depois de saberem do vazamento).<\/p>\n<p>Assim, j\u00e1 faz alguns meses que esse grande malware de roubo de dados para macOS est\u00e1 dispon\u00edvel para praticamente qualquer pessoa, de forma totalmente gratuita. Mas o pior ainda \u00e9 que, agora, com o c\u00f3digo-fonte tamb\u00e9m dispon\u00edvel, os cibercriminosos podem criar suas pr\u00f3prias vers\u00f5es modificadas do Banshee.<\/p>\n<p>E, julgando pelas evid\u00eancias, isso j\u00e1 est\u00e1 acontecendo. Por exemplo, as vers\u00f5es originais do Banshee paravam de funcionar se o sistema operacional estivesse executando no idioma russo. No entanto, uma das vers\u00f5es mais recentes removeu a verifica\u00e7\u00e3o de idioma, o que significa que, agora, usu\u00e1rios que falam russo tamb\u00e9m correm riscos.<\/p>\n<h2>Como se proteger do Banshee e de outras amea\u00e7as para macOS<\/h2>\n<p>Aqui est\u00e3o algumas dicas para que usu\u00e1rios do macOS se mantenham seguros:<\/p>\n<ul>\n<li>N\u00e3o instale software pirata no seu Mac. O risco de encontrar um Trojan ao fazer isso \u00e9 muito alto, e as consequ\u00eancias podem ser graves.<\/li>\n<li>Se o mesmo Mac for usado para transa\u00e7\u00f5es com criptomoedas, essa dica deve ser especialmente considerada. Nesse caso, o potencial dano financeiro pode exceder significativamente qualquer economia feita com a compra de software original.<\/li>\n<li>Em geral, evite instalar aplicativos desnecess\u00e1rios e n\u00e3o se esque\u00e7a de desinstalar os programas que n\u00e3o s\u00e3o mais usados.<\/li>\n<li>Tenha cuidado com as extens\u00f5es do navegador. Elas podem parecer inofensivas \u00e0 primeira vista, mas muitas extens\u00f5es t\u00eam acesso total ao conte\u00fado de <em>todas<\/em> as p\u00e1ginas da Web, o que as torna <a href=\"https:\/\/www.kaspersky.com.br\/blog\/dangerous-browser-extensions-2023\/22113\/\" target=\"_blank\" rel=\"noopener\">t\u00e3o perigosas<\/a> quanto os aplicativos mais completos.<\/li>\n<li>E claro, n\u00e3o deixe de instalar um <a href=\"https:\/\/www.kaspersky.com.br\/mac-antivirus?utm_source=affiliate&amp;icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____8523de9f697c548f\" target=\"_blank\" rel=\"noopener\">antiv\u00edrus confi\u00e1vel<\/a> no seu Mac. Como vimos, o malware para macOS \u00e9 uma amea\u00e7a real.<\/li>\n<\/ul>\n<p>Por fim, uma palavra sobre os produtos de seguran\u00e7a da Kaspersky. Eles podem detectar e bloquear muitas variantes do Banshee com o veredito <em>Trojan-PSW.OSX.Banshee<\/em>. Algumas novas vers\u00f5es s\u00e3o semelhantes ao AMOS Stealer, ent\u00e3o, elas tamb\u00e9m podem ser detectadas como <em>Trojan-PSW.OSX.Amos.gen<\/em>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"23319\">\n","protected":false},"excerpt":{"rendered":"<p>O Banshee Stealer, um malware de roubo de dados que atua em computadores macOS que surgiu no ano passado, agora est\u00e1 circulando livremente na Web, infectando usu\u00e1rios de Mac e adquirindo novas capacidades. Como se proteger?<\/p>\n","protected":false},"author":2706,"featured_media":23409,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260],"tags":[218,20,28,3243,1978,612,314,1952,160,35,3324,40,102,807],"class_list":{"0":"post-23400","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-ameacas","9":"tag-apple","10":"tag-ataques","11":"tag-carteiras-de-criptomoedas","12":"tag-contas","13":"tag-criptomoeda","14":"tag-engenharia-social","15":"tag-github","16":"tag-macos","17":"tag-malware-2","18":"tag-malwares-de-roubo-de-dados","19":"tag-seguranca","20":"tag-senhas","21":"tag-trojans"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/banshee-stealer-targets-macos-users\/28496\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/23749\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/12267\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/banshee-stealer-targets-macos-users\/28624\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/27934\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/banshee-stealer-targets-macos-users\/30734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/banshee-stealer-targets-macos-users\/29464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/banshee-stealer-targets-macos-users\/38965\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/banshee-stealer-targets-macos-users\/13135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/52933\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/banshee-stealer-targets-macos-users\/22555\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/banshee-stealer-targets-macos-users\/37453\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/banshee-stealer-targets-macos-users\/28748\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/banshee-stealer-targets-macos-users\/34579\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/banshee-stealer-targets-macos-users\/34206\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apple\/","name":"apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=23400"}],"version-history":[{"count":7,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23400\/revisions"}],"predecessor-version":[{"id":24540,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23400\/revisions\/24540"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/23409"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=23400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=23400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=23400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}