{"id":176772,"date":"2025-01-08T11:45:14","date_gmt":"2025-01-08T14:45:14","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/ch\/sin-categoria\/descifrando-el-codigo-como-banshee-stealer-apunta-a-usuarios-de-macos\/"},"modified":"2025-11-21T22:07:49","modified_gmt":"2025-11-22T01:07:49","slug":"descifrando-el-codigo-como-banshee-stealer-apunta-a-usuarios-de-macos","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/ch\/seguridad\/descifrando-el-codigo-como-banshee-stealer-apunta-a-usuarios-de-macos\/","title":{"rendered":"Descifrando el c\u00f3digo: c\u00f3mo Banshee Stealer apunta a usuarios de macOS"},"content":{"rendered":"

A medida que macOS contin\u00faa ganando popularidad, <\/span>con m\u00e1s de 100 millones de usuarios a nivel mundial<\/span><\/a>, se est\u00e1 convirtiendo en un objetivo cada vez m\u00e1s atractivo para los ciberdelincuentes. A pesar de su reputaci\u00f3n como un sistema operativo seguro, el surgimiento de amenazas sofisticadas como Banshee MacOS Stealer resalta la importancia de la vigilancia y las medidas proactivas de ciberseguridad.<\/span><\/p>\n

Check Point Research (CPR) ha estado monitoreando este malware emergente que apunta a usuarios de macOS.\u00a0<\/span><\/p>\n

Cuando las suposiciones de seguridad fallan<\/b><\/span><\/h2>\n

Muchos usuarios de macOS asumen que la arquitectura basada en Unix de la plataforma y su menor participaci\u00f3n hist\u00f3rica en el mercado la hacen un objetivo menos atractivo para los ciberdelincuentes y, por lo tanto, inmune al malware. Aunque macOS incluye caracter\u00edsticas de seguridad robustas como Gatekeeper, XProtect y sandboxing, el surgimiento del Banshee stealer sirve como un recordatorio de que ning\u00fan sistema operativo es inmune a las amenazas.<\/span><\/p>\n

Este malware sigiloso no solo se infiltra; opera sin ser detectado, mezcl\u00e1ndose perfectamente con los procesos normales del sistema mientras roba credenciales del navegador, billeteras de criptomonedas<\/a>, contrase\u00f1as de usuarios y datos de archivos sensibles. Lo que hace que Banshee sea verdaderamente alarmante es su capacidad para evadir la detecci\u00f3n. Incluso los profesionales de TI experimentados tienen dificultades para identificar su presencia. Banshee stealer no es solo otro malware; es una advertencia cr\u00edtica para que los usuarios reeval\u00faen sus suposiciones de seguridad y tomen medidas proactivas para proteger sus datos.<\/span><\/p>\n

La evoluci\u00f3n del Banshee Stealer: una nueva raza de amenaza<\/b><\/span><\/h2>\n

El Banshee macOS Stealer lleg\u00f3 por primera vez a la atenci\u00f3n p\u00fablica a mediados de 2024, anunciado como un “stealer-as-a-service” en foros clandestinos, como XSS y Exploit, y Telegram. Por $3,000, los actores de amenazas pod\u00edan comprar este malware para apuntar a usuarios de macOS. A finales de septiembre, CPR identific\u00f3 una nueva versi\u00f3n no detectada de Banshee con un giro interesante: sus desarrolladores hab\u00edan “robado” un algoritmo de cifrado de cadenas del propio motor antivirus XProtect de Apple, que reemplaz\u00f3 las cadenas de texto plano utilizadas en la versi\u00f3n original.<\/span><\/p>\n

Este movimiento probablemente permiti\u00f3 que Banshee evadiera la detecci\u00f3n de los motores antivirus durante m\u00e1s de dos meses. Durante este tiempo, los actores de amenazas distribuyeron el malware<\/a> a trav\u00e9s de sitios web de phishing y repositorios maliciosos de GitHub, haci\u00e9ndose pasar por herramientas de software populares como Chrome, Telegram y TradingView.<\/span><\/p>\n

Las operaciones de Banshee dieron un giro significativo en noviembre de 2024 cuando su c\u00f3digo fuente fue filtrado en los foros clandestinos XSS y se cerr\u00f3 al p\u00fablico. Esta filtraci\u00f3n no solo expuso su funcionamiento interno, sino que tambi\u00e9n llev\u00f3 a una mejor detecci\u00f3n por parte de los motores antivirus.<\/span><\/p>\n

C\u00f3mo opera Banshee Stealer<\/b><\/span><\/h2>\n

La funcionalidad de Banshee Stealer revela la sofisticaci\u00f3n detr\u00e1s del malware moderno. Una vez instalado, realiza las siguientes acciones:<\/span><\/p>\n

    \n
  • Robo de datos del sistema: Apunta a navegadores como Chrome, Brave, Edge y Vivaldi, junto con extensiones de navegador para billeteras de criptomonedas. Tambi\u00e9n explota una extensi\u00f3n de Autenticaci\u00f3n de Dos Factores (2FA) para capturar credenciales sensibles. Adem\u00e1s, recopila detalles de software y hardware, direcciones IP externas y contrase\u00f1as de macOS.<\/span><\/li>\n
  • Enga\u00f1a a los usuarios: Utiliza ventanas emergentes convincentes dise\u00f1adas para parecer indicaciones leg\u00edtimas del sistema para enga\u00f1ar a los usuarios y hacer que ingresen sus contrase\u00f1as de macOS.<\/span><\/li>\n
  • Evita la detecci\u00f3n: Emplea t\u00e9cnicas anti-an\u00e1lisis para evitar herramientas de depuraci\u00f3n y motores antivirus.<\/span><\/li>\n
  • Exfiltra datos: Env\u00eda informaci\u00f3n robada a servidores de comando y control a trav\u00e9s de archivos cifrados y codificados.<\/span><\/li>\n<\/ul>\n
    \"width=\"
    Si bien esta filtraci\u00f3n llev\u00f3 a una mejor detecci\u00f3n por parte de los motores antivirus, tambi\u00e9n gener\u00f3 preocupaciones sobre nuevas variantes que podr\u00edan ser desarrolladas por otros actores.<\/figcaption><\/figure>\n

    Los actores de amenazas utilizaron repositorios de GitHub como un m\u00e9todo clave de distribuci\u00f3n para Banshee. Estas campa\u00f1as apuntaron a usuarios de macOS con Banshee mientras simult\u00e1neamente dirig\u00edan sus ataques a usuarios de Windows con un malware diferente, aunque ya conocido, llamado Lumma Stealer. A lo largo de tres oleadas, se crearon repositorios maliciosos para hacerse pasar por software popular y atraer a los usuarios a descargar el malware. Estos repositorios a menudo parec\u00edan leg\u00edtimos, con estrellas y rese\u00f1as para generar confianza antes de lanzar sus campa\u00f1as maliciosas.<\/span><\/p>\n

    \"width=\"<\/p>\n

    Por qu\u00e9 esto importa a las empresas<\/b><\/span><\/h2>\n

    Las empresas deben reconocer los riesgos m\u00e1s amplios que plantea el malware moderno, incluidas las costosas violaciones de datos que comprometen informaci\u00f3n sensible y da\u00f1an las reputaciones, los ataques dirigidos a billeteras de criptomonedas que amenazan los activos digitales y las interrupciones operativas causadas por malware sigiloso que evaden la detecci\u00f3n e infligen da\u00f1o a largo plazo antes de ser identificado.<\/span><\/p>\n

    Lecciones del Banshee Stealer<\/b><\/span><\/h2>\n

    El \u00e9xito de Banshee subraya la naturaleza en evoluci\u00f3n de las amenazas cibern\u00e9ticas y la necesidad de defensas robustas. Desde que se filtr\u00f3 su c\u00f3digo fuente en noviembre de 2024, la operaci\u00f3n Banshee Stealer-as-a-service ha sido oficialmente cerrada. Sin embargo, CPR ha identificado m\u00faltiples campa\u00f1as que a\u00fan distribuyen el malware a trav\u00e9s de sitios web de phishing.<\/span><\/p>\n

    \"width=\"
    Si estas campa\u00f1as est\u00e1n siendo llevadas a cabo por clientes anteriores o el grupo privado del autor sigue siendo incierto.<\/figcaption><\/figure>\n

    Cl\u00fasteres de Campa\u00f1a<\/b><\/span><\/h2>\n

    Una actualizaci\u00f3n notable en la \u00faltima versi\u00f3n de Banshee es la eliminaci\u00f3n de su verificaci\u00f3n de idioma ruso. Las versiones anteriores del malware terminaban sus operaciones si detectaban el idioma ruso, probablemente para evitar apuntar a regiones espec\u00edficas. Eliminar esta caracter\u00edstica indica una expansi\u00f3n en los posibles objetivos del malware.<\/span><\/p>\n

    A medida que los ciberdelincuentes contin\u00faan innovando, las soluciones de seguridad deben evolucionar junto con ellos para proporcionar una protecci\u00f3n integral. Tanto las empresas como los usuarios deben tomar medidas proactivas para defenderse contra las amenazas, aprovechando herramientas avanzadas y fomentando una cultura de precauci\u00f3n y conciencia.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

    A medida que macOS continúa ganando popularidad, con más de 100 millones de usuarios a nivel mundial, se está convirtiendo en un objetivo cada vez más atractivo para los ciberdelincuentes. A pesar de su reputación como un sistema operativo seguro, el surgimiento de amenazas sofisticadas como Banshee MacOS Stealer resalta la importancia de la vigilancia y las medidas proactivas de ciberseguridad. Check Point Research (CPR) ha estado monitoreando este malware emergente que apunta a usuarios de macOS.  Cuando las suposiciones de seguridad fallan Muchos usuarios de macOS asumen que la arquitectura basada en Unix de la plataforma y su menor participación histórica en el mercado la hacen un objetivo menos atractivo para los ciberdelincuentes y, por lo tanto, inmune al malware. Aunque macOS incluye características de seguridad robustas como Gatekeeper, XProtect y sandboxing, el surgimiento del Banshee stealer sirve como un recordatorio de que ningún sistema operativo es inmune a las amenazas. Este malware sigiloso no solo se infiltra; opera sin ser detectado, mezclándose perfectamente con los procesos normales del sistema mientras roba credenciales del navegador, billeteras de criptomonedas, contraseñas de usuarios y datos de archivos sensibles. Lo que hace que Banshee sea verdaderamente alarmante es su capacidad para evadir la detección. Incluso los profesionales de TI experimentados tienen dificultades para identificar su presencia. Banshee stealer no es solo otro malware; es una advertencia crítica para que los usuarios reevalúen sus suposiciones de seguridad y tomen medidas proactivas para proteger sus datos. La evolución del Banshee Stealer: una nueva raza de amenaza El Banshee macOS Stealer llegó por primera vez a la atención pública a mediados de 2024, anunciado como un “stealer-as-a-service” en foros clandestinos, como XSS y Exploit, y Telegram. Por $3,000, los actores de amenazas podían comprar este malware para apuntar a usuarios de macOS. A finales de septiembre, CPR identificó una nueva versión no detectada de Banshee con un giro interesante: sus desarrolladores habían “robado” un algoritmo de cifrado de cadenas del propio motor antivirus XProtect de Apple, que reemplazó las cadenas de texto plano utilizadas en la versión original. Este movimiento probablemente permitió que Banshee evadiera la detección de los motores antivirus durante más de dos meses. Durante este tiempo, los actores de amenazas distribuyeron el malware a través de sitios web de phishing y repositorios maliciosos de GitHub, haciéndose pasar por herramientas de software populares como Chrome, Telegram y TradingView. Las operaciones de Banshee dieron un giro significativo en noviembre de 2024 cuando su código fuente fue filtrado en los foros clandestinos XSS y se cerró al público. Esta filtración no solo expuso su funcionamiento interno, sino que también llevó a una mejor detección por parte de los motores antivirus. Cómo opera Banshee Stealer La funcionalidad de Banshee Stealer revela la sofisticación detrás del malware moderno. Una vez instalado, realiza las siguientes acciones: Robo de datos del sistema: Apunta a navegadores como Chrome, Brave, Edge y Vivaldi, junto con extensiones de navegador para billeteras de criptomonedas. También explota una extensión de Autenticación de Dos Factores (2FA) para capturar credenciales sensibles. Además, recopila detalles de software y hardware, direcciones IP externas y contraseñas de macOS. Engaña a los usuarios: Utiliza ventanas emergentes convincentes diseñadas para parecer indicaciones legítimas del sistema para engañar a los usuarios y hacer que ingresen sus contraseñas de macOS. Evita la detección: Emplea técnicas anti-análisis para evitar herramientas de depuración y motores antivirus. Exfiltra datos: Envía información robada a servidores de comando y control a través de archivos cifrados y codificados. Los actores de amenazas utilizaron repositorios de GitHub como un método clave de distribución para Banshee. Estas campañas apuntaron a usuarios de macOS con Banshee mientras simultáneamente dirigían sus ataques a usuarios de Windows con un malware diferente, aunque ya conocido, llamado Lumma Stealer. A lo largo de tres oleadas, se crearon repositorios maliciosos para hacerse pasar por software popular y atraer a los usuarios a descargar el malware. Estos repositorios a menudo parecían legítimos, con estrellas y reseñas para generar confianza antes de lanzar sus campañas maliciosas. Por qué esto importa a las empresas Las empresas deben reconocer los riesgos más amplios que plantea el malware moderno, incluidas las costosas violaciones de datos que comprometen información sensible y dañan las reputaciones, los ataques dirigidos a billeteras de criptomonedas que amenazan los activos digitales y las interrupciones operativas causadas por malware sigiloso que evaden la detección e infligen daño a largo plazo antes de ser identificado. Lecciones del Banshee Stealer El éxito de Banshee subraya la naturaleza en evolución de las amenazas cibernéticas y la necesidad de defensas robustas. Desde que se filtró su código fuente en noviembre de 2024, la operación Banshee Stealer-as-a-service ha sido oficialmente cerrada. Sin embargo, CPR ha identificado múltiples campañas que aún distribuyen el malware a través de sitios web de phishing. Clústeres de Campaña Una actualización notable en la última versión de Banshee es la eliminación de su verificación de idioma ruso. Las versiones anteriores del malware terminaban sus operaciones si detectaban el idioma ruso, probablemente para evitar apuntar a regiones específicas. Eliminar esta característica indica una expansión en los posibles objetivos del malware. A medida que los ciberdelincuentes continúan innovando, las soluciones de seguridad deben evolucionar junto con ellos para proporcionar una protección integral. Tanto las empresas como los usuarios deben tomar medidas proactivas para defenderse contra las amenazas, aprovechando herramientas avanzadas y fomentando una cultura de precaución y conciencia.<\/p>\n","protected":false},"author":229,"featured_media":176288,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[34],"tags":[94],"class_list":["post-176772","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-check-point"],"_links":{"self":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/176772","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/users\/229"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/comments?post=176772"}],"version-history":[{"count":0,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/posts\/176772\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media\/176288"}],"wp:attachment":[{"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/media?parent=176772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/categories?post=176772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itsitio.com\/ch\/wp-json\/wp\/v2\/tags?post=176772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}