{"id":31918,"date":"2025-02-11T10:43:13","date_gmt":"2025-02-11T08:43:13","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31918"},"modified":"2025-12-11T15:27:48","modified_gmt":"2025-12-11T13:27:48","slug":"banshee-stealer-targets-macos-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/","title":{"rendered":"Banshee: Dieser Dieb hat es auf macOS-Nutzer abgesehen"},"content":{"rendered":"<p>Viele macOS-Nutzer glauben, ihr Betriebssystem sei immun gegen Malware und zus\u00e4tzliche Sicherheitsvorkehrungen seien \u00fcberfl\u00fcssig. Leider sieht die Wirklichkeit ganz anders aus. Es tauchen n\u00e4mlich st\u00e4ndig neue Bedrohungen auf.<\/p>\n<h2>Gibt es Viren f\u00fcr macOS?<\/h2>\n<p>Ja, und zwar jede Menge. Hier sind einige Beispiele f\u00fcr Mac-Malware, \u00fcber die wir bereits bei Kaspersky Daily und Securelist berichtet haben:<\/p>\n<ul>\n<li>Ein <a href=\"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/\" target=\"_blank\" rel=\"noopener\">Trojaner<\/a>, der Krypto-Wallets stiehlt und sich als Raubkopien beliebter macOS-Apps tarnt.<\/li>\n<\/ul>\n<div id=\"attachment_31920\" style=\"width: 1174px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171427\/banshee-stealer-targets-macos-users-1.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31920\" class=\"wp-image-31920 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171427\/banshee-stealer-targets-macos-users-1.jpg\" alt=\"Die Installation des Trojaners in macOS\" width=\"1164\" height=\"1117\"><\/a><p id=\"caption-attachment-31920\" class=\"wp-caption-text\">Der sch\u00e4dliche Code dieses Trojaners ist im \u201eActivator\u201c enthalten. Die geknackte App funktioniert erst, nachdem der \u201eActivator\u201c gestartet wurde.<a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">Quelle<\/a><\/p><\/div>\n<ul>\n<li>Ein weiterer Trojaner, der <a href=\"https:\/\/www.kaspersky.de\/blog\/macos-users-cyberthreats-2023\/30758\/\" target=\"_blank\" rel=\"noopener\">Kryptow\u00e4hrung stehlen<\/a> kann und als PDF-Dokument mit dem Titel \u201eKrypto-Assets und ihre Risiken f\u00fcr die Finanzstabilit\u00e4t\u201c getarnt ist.<\/li>\n<li>Ein Trojaner, der infizierte Macs nutzte, um ein <a href=\"https:\/\/securelist.com\/trojan-proxy-for-macos\/111325\/\" target=\"_blank\" rel=\"noopener\">Netzwerk aus illegalen Proxyservern<\/a> zu erstellen und dar\u00fcber b\u00f6sartigen Datenverkehr weiterzuleiten.<\/li>\n<li>Der Stealer \u201eAtomic\u201c, der als <a href=\"https:\/\/www.kaspersky.de\/blog\/macos-users-cyberthreats-2023\/30758\/\" target=\"_blank\" rel=\"noopener\">gef\u00e4lschtes Safari-Update<\/a> verbreitet wird.<\/li>\n<\/ul>\n<p>Die Liste der bisherigen Bedrohungen lie\u00dfe sich noch lange fortsetzen. Aber wir konzentrieren uns lieber auf einen der j\u00fcngsten Angriffe auf macOS-Nutzer, n\u00e4mlich den Banshee-Stealer\u00a0\u2026<\/p>\n<h2>Was der Banshee-Stealer macht<\/h2>\n<p>Banshee ist ein vollwertiger Info-Stealer. Diese Art von Malware sucht auf dem infizierten Ger\u00e4t (in unserem Fall auf einem Mac) nach wertvollen Daten und \u00fcbermittelt diese an die Kriminellen. Banshees wichtigstes Ziel ist der Diebstahl von Daten im Zusammenhang mit Kryptow\u00e4hrung und Blockchain.<\/p>\n<p>Sobald der Stealer ins System gelangt ist, beginnt er sein b\u00f6ses Werk:<\/p>\n<ul>\n<li>Er stiehlt in verschiedenen Browsern gespeicherte Anmeldedaten und Passw\u00f6rter. Zum Beispiel aus Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex Browser und Opera.<\/li>\n<li>Er pl\u00fcndert Informationen, die in Browser-Erweiterungen gespeichert sind. Die diebische Malware nimmt \u00fcber 50 Erweiterungen ins Visier, die meist mit Krypto-Wallets zu tun haben. Dazu z\u00e4hlen beispielsweise Coinbase Wallet, MetaMask, Trust Wallet, Guarda, Exodus und Nami.<\/li>\n<li>Er klaut 2FA-Token, die in der Browser-Erweiterung \u201eAuthenticator.cc\u201c gespeichert sind.<\/li>\n<li>Er sucht und extrahiert Daten aus Anwendungen f\u00fcr Krypto-Wallets, darunter Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic und Ledger.<\/li>\n<li>Er sammelt Systeminformationen und stiehlt das macOS-Passwort. Dazu nutzt er ein gef\u00e4lschtes Fenster zur Passworteingabe.<\/li>\n<\/ul>\n<p>Banshee tr\u00e4gt alle diese Daten sorgf\u00e4ltig in einem ZIP-Archiv zusammen, verschl\u00fcsselt das Archiv mit der einfachen XOR-Methode und sendet es an den Command-and-Control-Server der Angreifer.<\/p>\n<p>Und die Banshee-Entwickler haben sich noch etwas ausgedacht: Die neuesten Versionen k\u00f6nnen das integrierte macOS-Antivirenprogramm XProtect umgehen. Ein interessantes Detail: Um einer Erkennung zu entgehen, verwendet die Malware den gleichen Algorithmus, mit dem sich XProtect selbst sch\u00fctzt: Der Stealer verschl\u00fcsselt wichtige Codesegmente und entschl\u00fcsselt sie bei Bedarf wieder.<\/p>\n<h2>Wie sich der Banshee-Stealer verbreitet<\/h2>\n<p>Die Betreiber von Banshee setzten haupts\u00e4chlich auf GitHub, um ihre Opfer zu infizieren. Als K\u00f6der luden sie geknackte Versionen teurer Software hoch, z.\u00a0B. Autodesk AutoCAD, Adobe Acrobat Pro, Adobe Premiere Pro, Capture One Pro und Blackmagic Design DaVinci Resolve.<\/p>\n<div id=\"attachment_31921\" style=\"width: 2058px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171436\/banshee-stealer-targets-macos-users-2.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31921\" class=\"size-full wp-image-31921\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171436\/banshee-stealer-targets-macos-users-2.jpg\" alt=\"Banshee-Stealer-Distribution auf GitHub \" width=\"2048\" height=\"1536\"><\/a><p id=\"caption-attachment-31921\" class=\"wp-caption-text\">Die Banshee-Entwickler tarnten die Malware als Raubkopien und verbreiteten sie \u00fcber GitHub. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<p>Die Angreifer nahmen oft gleichzeitig macOS- und Windows-Nutzer aufs Korn: H\u00e4ufig wurde Banshee mit dem Windows-Stealer \u201eLumma\u201c gekoppelt.<\/p>\n<p>Eine weitere Banshee-Kampagne wurde entdeckt, nachdem der sch\u00e4dliche Quellcode durchgesickert war (Details findest du weiter unten). Dabei ging es um eine Phishing-Website, die macOS-Nutzern den Download von \u201eTelegram Local\u201c anbot \u2013 angeblich zum Schutz vor Phishing und Malware. \u00dcberraschung! Die heruntergeladene Datei war infiziert. F\u00fcr die Nutzer anderer Betriebssysteme war der b\u00f6sartige Link erstaunlicherweise gar nicht sichtbar.<\/p>\n<div id=\"attachment_31919\" style=\"width: 1087px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171418\/banshee-stealer-targets-macos-users-3.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31919\" class=\"wp-image-31919 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171418\/banshee-stealer-targets-macos-users-3.jpg\" alt=\"Banshee wird \u00fcber eine Phishing-Website verbreitet\" width=\"1077\" height=\"606\"><\/a><p id=\"caption-attachment-31919\" class=\"wp-caption-text\">Eine Phishing-Website bietet den Download von \u201eTelegram Local\u201c an, hinter dem sich Banshee verbirgt. Der Link ist nur f\u00fcr macOS-Nutzer sichtbar (linkes Bild). <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<h2>Banshee\u00a0\u2013 Vergangenheit und Zukunft<\/h2>\n<p>Werfen wir einen Blick auf die wirklich interessante Geschichte von Banshee. Diese Malware tauchte erstmals im Juli 2024 auf. Die Entwickler vermarkteten sie als Malware-as-a-Service-Abonnement (MaaS) und verlangten 3.000 US-Dollar pro Monat.<\/p>\n<p>Das Gesch\u00e4ft lief offenbar nicht so gut, denn Mitte August wurde der Preis um 50\u00a0% gesenkt. Ein Monatsabo kostete fortan nur noch 1.500\u00a0US-Dollar.<\/p>\n<div id=\"attachment_31923\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171453\/banshee-stealer-targets-macos-users-4.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-31923\" class=\"size-full wp-image-31923\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2025\/02\/10171453\/banshee-stealer-targets-macos-users-4.jpg\" alt=\"Anzeige f\u00fcr Banshee-Stealer mit Rabatt \" width=\"1024\" height=\"725\"><\/a><p id=\"caption-attachment-31923\" class=\"wp-caption-text\">Anzeige auf einer Hacker-Website, die einen Rabatt auf Banshee anbietet: 1.500 $ statt 3.000 $ pro Monat. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Quelle<\/a><\/p><\/div>\n<p>Irgendwann \u00e4nderten die Entwickler entweder ihre Strategie oder wollten ihr Portfolio um ein Partnerprogramm erweitern. Sie suchten Partner f\u00fcr gemeinsame Kampagnen. Bei solchen Kampagnen stellten die Banshee-Entwickler die Malware bereit, und die Partner f\u00fchrten den eigentlichen Angriff aus. Bei den Einnahmen wollten die Entwickler halbe-halbe machen.<\/p>\n<p>Doch dabei lief wohl irgendetwas furchtbar schief. Ende November wurde der Banshee-Quellcode geleakt und in einem Hacker-Forum ver\u00f6ffentlicht.\u00a0\u2013 Damit war vorerst Schluss mit der kommerziellen Nutzung der Malware. Die Entwickler verk\u00fcndeten ihren R\u00fcckzug aus dem Gesch\u00e4ft. Vorher wollten sie jedoch das gesamte Projekt f\u00fcr 1\u00a0BTC und sp\u00e4ter f\u00fcr 30.000 US-Dollar verkaufen (vermutlich, nachdem sie von dem Leck erfahren hatten).<\/p>\n<p>Seit einigen Monaten ist dieser riskante macOS-Dieb praktisch f\u00fcr jedermann umsonst erh\u00e4ltlich. Noch schlimmer: Da auch der Quellcode verf\u00fcgbar ist, k\u00f6nnen Cyberkriminelle nun ihre eigenen modifizierten Banshee-Versionen kreieren.<\/p>\n<p>Und es gibt Belege daf\u00fcr, dass dies bereits geschieht. Die Originalversionen von Banshee funktionierten beispielsweise nicht mehr, wenn sie auf russischsprachigen Betriebssystemen ausgef\u00fchrt wurden. In einer der neuesten Versionen wurde die Sprach\u00fcberpr\u00fcfung jedoch entfernt, sodass nun auch russischsprachige Nutzer gef\u00e4hrdet sind.<\/p>\n<h2>So sch\u00fctzt du dich vor Banshee und anderen macOS-Bedrohungen<\/h2>\n<p>Hier sind einige Sicherheitstipps f\u00fcr macOS-Nutzer:<\/p>\n<ul>\n<li>Installiere keine Raubkopien auf deinem Mac! Dabei besteht ein sehr hohes Risiko, auf einen Trojaner zu sto\u00dfen, und die m\u00f6glichen Folgen sind nicht zu untersch\u00e4tzen.<\/li>\n<li>Dies gilt insbesondere, wenn du deinen Mac auch f\u00fcr Kryptow\u00e4hrungstransaktionen verwendest. In diesem Fall k\u00f6nnte der finanzielle Schaden durch den Stealer erheblich h\u00f6her sein, als der Betrag, den du beim Softwarekauf sparst.<\/li>\n<li>Vermeide grunds\u00e4tzlich die Installation unn\u00f6tiger Anwendungen. Und deinstalliere Programme, die du nicht mehr verwendest.<\/li>\n<li>Vorsicht mit Browser-Erweiterungen! Sie k\u00f6nnen auf den ersten Blick v\u00f6llig harmlos erscheinen. Viele Erweiterungen haben jedoch Vollzugriff auf die Inhalte <em>aller<\/em> Webseiten und sind damit <a href=\"https:\/\/www.kaspersky.de\/blog\/dangerous-browser-extensions-2023\/30774\/\" target=\"_blank\" rel=\"noopener\">genauso gef\u00e4hrlich<\/a> wie vollwertige Apps.<\/li>\n<li>Und nat\u00fcrlich solltest du unbedingt einen <a href=\"https:\/\/www.kaspersky.de\/mac-antivirus?utm_source=affiliate&amp;icid=de_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____4367d5308cc8a8eb\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssigen Virenschutz<\/a> auf deinem Mac installieren. Wie wir gesehen haben, stellt Malware f\u00fcr macOS eine ganz reale Bedrohung dar.<\/li>\n<\/ul>\n<p>Zum Abschluss noch ein Wort zu den Kaspersky-Sicherheitsprodukten. Unsere L\u00f6sungen k\u00f6nnen viele Banshee-Varianten mit dem Verdikt <em>Trojan-PSW.OSX.Banshee<\/em> erkennen und blockieren. Einige neue Versionen \u00e4hneln dem AMOS-Stealer und k\u00f6nnen daher auch als <em>Trojan-PSW.OSX.Amos.gen<\/em> identifiziert werden.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"31900\">\n","protected":false},"excerpt":{"rendered":"<p>Seit letztem Jahr treibt der macOS-Stealer \u201eBanshee\u201c sein Unwesen im Internet, infiziert Mac-Ger\u00e4te und erwirbt immer neue F\u00e4higkeiten. Wie kannst du dich sch\u00fctzen?<\/p>\n","protected":false},"author":2706,"featured_media":31927,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[31,109,274,1624,2907,4064,2632,903,1650,125,1653,273,3353,257],"class_list":{"0":"post-31918","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-angriffe","9":"tag-apple","10":"tag-bedrohungen","11":"tag-github","12":"tag-konten","13":"tag-krypto-wallets","14":"tag-kryptowahrung","15":"tag-macos","16":"tag-malware","17":"tag-passworter","18":"tag-security","19":"tag-social-engineering","20":"tag-stealer","21":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/banshee-stealer-targets-macos-users\/28496\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/23749\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/12267\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/banshee-stealer-targets-macos-users\/28624\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/27934\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/banshee-stealer-targets-macos-users\/30734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/banshee-stealer-targets-macos-users\/29464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/banshee-stealer-targets-macos-users\/38965\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/banshee-stealer-targets-macos-users\/13135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/52933\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/banshee-stealer-targets-macos-users\/22555\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/banshee-stealer-targets-macos-users\/37453\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/banshee-stealer-targets-macos-users\/28748\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/banshee-stealer-targets-macos-users\/34579\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/banshee-stealer-targets-macos-users\/34206\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apple\/","name":"Apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31918","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31918"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31918\/revisions"}],"predecessor-version":[{"id":33002,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31918\/revisions\/33002"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31927"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31918"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31918"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31918"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}