{"id":27934,"date":"2025-02-12T00:11:13","date_gmt":"2025-02-12T06:11:13","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27934"},"modified":"2025-12-11T07:39:40","modified_gmt":"2025-12-11T13:39:40","slug":"banshee-stealer-targets-macos-users","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/27934\/","title":{"rendered":"Banshee Stealer: un ladr\u00f3n que ataca a usuarios de macOS"},"content":{"rendered":"<p>Muchas personas que usan macOS creen que su sistema operativo es inmune al malware, por lo que no consideran tomar precauciones de seguridad adicionales. En realidad, esto dista mucho de la verdad y hay nuevas amenazas que siguen apareciendo.<\/p>\n<h2>\u00bfExisten virus para dispositivos con macOS?<\/h2>\n<p>S\u00ed, y muchos. A continuaci\u00f3n, enumeramos algunos ejemplos de malware para Mac que ya hemos mencionado en Kaspersky\u00a0Daily y Securelist:<\/p>\n<ul>\n<li>Un <a href=\"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/\" target=\"_blank\" rel=\"noopener\">troyano<\/a> se hac\u00eda pasar por la versi\u00f3n pirateada de aplicaciones populares de macOS y robaba carteras de criptomonedas.<\/li>\n<\/ul>\n<div id=\"attachment_27936\" style=\"width: 1174px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/11235732\/banshee-stealer-targets-macos-users-1.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27936\" class=\"wp-image-27936 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/11235732\/banshee-stealer-targets-macos-users-1.jpg\" alt=\"Instalaci\u00f3n del troyano en macOS\" width=\"1164\" height=\"1117\"><\/a><p id=\"caption-attachment-27936\" class=\"wp-caption-text\">La carga maliciosa del troyano se almacena en el \u201cactivador\u201d. La aplicaci\u00f3n pirateada no funcionar\u00e1 hasta que se ejecute la aplicaci\u00f3n.<a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">Fuente<\/a><\/p><\/div>\n<ul>\n<li>Otro troyano, esta vez oculto como un documento PDF titulado \u201cCrypto-assets and their risks for financial stability\u201d (Criptoactivos y los riesgos para la estabilidad financiera), <a href=\"https:\/\/latam.kaspersky.com\/blog\/macos-users-cyberthreats-2023\/26912\/\" target=\"_blank\" rel=\"noopener\">robaba criptomonedas<\/a>.<\/li>\n<li>Un troyano utilizaba Macs infectados para crear una <a href=\"https:\/\/securelist.com\/trojan-proxy-for-macos\/111325\/\" target=\"_blank\" rel=\"noopener\">red de servidores proxy ilegales<\/a> a fin de enrutar tr\u00e1fico malicioso.<\/li>\n<li>El malware Atomic Stealer se distribu\u00eda como una <a href=\"https:\/\/latam.kaspersky.com\/blog\/macos-users-cyberthreats-2023\/26912\/\" target=\"_blank\" rel=\"noopener\">falsa actualizaci\u00f3n de Safari<\/a>.<\/li>\n<\/ul>\n<p>Podr\u00edamos continuar con esta lista de amenazas pasadas, pero centr\u00e9monos en uno de los \u00faltimos ataques dirigidos a usuarios de macOS: Banshee Stealer.<\/p>\n<h2>El accionar de Banshee Stealer<\/h2>\n<p>Banshee es un ladr\u00f3n de informaci\u00f3n, en todo el sentido de la palabra. Es un tipo de malware que busca datos valiosos en el dispositivo infectado (en este caso, un Mac) y los env\u00eda a los delincuentes que idearon el ataque. Banshee se utiliza, en particular, para robar datos relacionados con criptomonedas y cadenas de bloques (blockchain).<\/p>\n<p>Una vez dentro del sistema, esto hace el malware:<\/p>\n<ul>\n<li>Roba nombres de usuario y contrase\u00f1as guardadas en varios navegadores: Google\u00a0Chrome, Brave, Microsoft\u00a0Edge, Vivaldi, Yandex Browser y Opera.<\/li>\n<li>Roba la informaci\u00f3n que almacenan las extensiones del navegador. El malware est\u00e1 dirigido a m\u00e1s de 50\u00a0extensiones, la mayor\u00eda relacionada con carteras de criptomonedas, como Coinbase Wallet, MetaMask, Trust Wallet, Guarda, Exodus y Nami.<\/li>\n<li>Roba los tokens de la autenticaci\u00f3n de doble factor almacenados en la extensi\u00f3n del navegador Authenticator.cc.<\/li>\n<li>Busca y extrae datos de aplicaciones de carteras de criptomonedas, como Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic y Ledger.<\/li>\n<li>Recopila informaci\u00f3n del sistema y roba la contrase\u00f1a de macOS desde una ventana falsa donde se le solicita al usuario introducirla.<\/li>\n<\/ul>\n<p>Banshee adjunta todos estos datos en un archivo comprimido\u00a0ZIP, los encripta con un sencillo cifrado XOR y los env\u00eda al servidor de mando y control de los atacantes.<\/p>\n<p>En sus \u00faltimas versiones, los desarrolladores de Banshee han a\u00f1adido la funcionalidad para eludir XProtect, el antivirus integrado de macOS. Curiosamente, para evitar la detecci\u00f3n, el malware utiliza el mismo algoritmo que XProtect emplea para protegerse: cifra segmentos clave de su c\u00f3digo y los descifra durante la ejecuci\u00f3n.<\/p>\n<h2>C\u00f3mo se propaga Banshee Stealer<\/h2>\n<p>Quienes dirigen Banshee utilizaban principalmente GitHub para infectar a sus v\u00edctimas. Como cebo, cargaban versiones pirateadas de programas costosos como Autodesk AutoCAD, Adobe Acrobat Pro, Adobe Premiere Pro, Capture One Pro y Blackmagic Design DaVinci Resolve.<\/p>\n<div id=\"attachment_27937\" style=\"width: 2058px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000053\/banshee-stealer-targets-macos-users-2.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27937\" class=\"wp-image-27937 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000053\/banshee-stealer-targets-macos-users-2.jpg\" alt=\"Distribuci\u00f3n de Banshee Stealer en GitHub\" width=\"2048\" height=\"1536\"><\/a><p id=\"caption-attachment-27937\" class=\"wp-caption-text\">El grupo creador de Banshee utilizaba GitHub para difundir el malware bajo la apariencia de software pirateado. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a><\/p><\/div>\n<p>Los atacantes sol\u00edan arremeter contra usuarios de macOS y Windows al mismo tiempo: Banshee a menudo se utilizaba junto con un malware ladr\u00f3n para Windows llamado Lumma.<\/p>\n<p>Otra campa\u00f1a de Banshee, descubierta despu\u00e9s de que se filtrara el c\u00f3digo fuente del malware (puedes encontrar m\u00e1s informaci\u00f3n sobre esto a continuaci\u00f3n), involucr\u00f3 un sitio de phishing que ofrec\u00eda a los usuarios de macOS descargar \u201cTelegram Local\u201d, supuestamente dise\u00f1ada para ofrecer protecci\u00f3n contra el phishing y el malware. Por supuesto, el archivo descargado estaba infectado. Adem\u00e1s, es curioso que los usuarios de otros sistemas operativos ni siquiera ver\u00edan el enlace malicioso.<\/p>\n<div id=\"attachment_27938\" style=\"width: 1087px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000323\/banshee-stealer-targets-macos-users-3.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27938\" class=\"wp-image-27938 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000323\/banshee-stealer-targets-macos-users-3.jpg\" alt=\"Banshee se difunde a trav\u00e9s de un sitio de phishing\" width=\"1077\" height=\"606\"><\/a><p id=\"caption-attachment-27938\" class=\"wp-caption-text\">En un sitio de phishing, se puede descargar Banshee, oculto como \u201cTelegram Local\u201d, pero solo en dispositivos macOS (imagen izquierda). <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a><\/p><\/div>\n<h2>El pasado y el futuro de Banshee<\/h2>\n<p>Develemos la historia de Banshee, que es bastante interesante. Este malware apareci\u00f3 por primera vez en julio de 2024. Sus desarrolladores lo comercializaron como una suscripci\u00f3n de malware como servicio (MaaS) y cobraban 3000\u00a0USD al mes.<\/p>\n<p>El negocio no debe haber ido sobre ruedas, ya que a mediados de agosto hab\u00edan reducido el precio en un 50\u00a0%, es decir, la suscripci\u00f3n mensual costaba 1500\u00a0USD.<\/p>\n<div id=\"attachment_27939\" style=\"width: 1034px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000553\/banshee-stealer-targets-macos-users-4.jpg\"><img decoding=\"async\" aria-describedby=\"caption-attachment-27939\" class=\"wp-image-27939 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2025\/02\/12000553\/banshee-stealer-targets-macos-users-4.jpg\" alt=\"Anuncio de Banshee Stealer con descuento\" width=\"1024\" height=\"725\"><\/a><p id=\"caption-attachment-27939\" class=\"wp-caption-text\">El anuncio en un sitio de pirater\u00eda sobre el descuento de Banshee: 1500 USD en lugar de 3000 USD al mes. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Fuente<\/a><\/p><\/div>\n<p>En alg\u00fan momento, quienes lo crearon modificaron su estrategia o decidieron a\u00f1adir un programa de afiliaciones a su cartera. Comenzaron a reclutar socios para realizar campa\u00f1as conjuntas. En estas campa\u00f1as, el grupo creador de Banshee proporcionaba el malware y los socios ejecutaban el ataque real. La idea de los desarrolladores era dividir las ganancias a la mitad.<\/p>\n<p>Sin embargo, algo debi\u00f3 haber salido muy mal. A finales de noviembre, el c\u00f3digo fuente de Banshee se filtr\u00f3 y se public\u00f3 en un foro de pirater\u00eda, lo que puso fin a la vida comercial del malware. El grupo desarrollador anunci\u00f3 que abandonar\u00eda el negocio, pero no antes de intentar vender todo el proyecto por 1\u00a0BTC y luego por 30\u00a0000\u00a0USD (quiz\u00e1 despu\u00e9s de enterarse de la filtraci\u00f3n).<\/p>\n<p>As\u00ed es como, desde hace varios meses, este importante ladr\u00f3n de archivos para macOS est\u00e1 disponible casi para todo el mundo de forma totalmente gratuita. Peor a\u00fan, dado que el c\u00f3digo fuente tambi\u00e9n est\u00e1 disponible, cualquier ciberdelincuente puede crear su propia versi\u00f3n modificada de Banshee.<\/p>\n<p>Y a juzgar por la evidencia que vemos, esto ya est\u00e1 sucediendo. Por ejemplo, las versiones originales de Banshee dejaban de funcionar si el sistema operativo se ejecutaba en idioma ruso. Sin embargo, una de las \u00faltimas versiones ha eliminado la verificaci\u00f3n de idioma, lo que significa que los usuarios de habla rusa ahora tambi\u00e9n est\u00e1n en peligro.<\/p>\n<h2>C\u00f3mo puedes protegerte de Banshee y otras amenazas de macOS<\/h2>\n<p>A continuaci\u00f3n, brindamos algunos consejos para que todos los usuarios de macOS puedan mantener su seguridad:<\/p>\n<ul>\n<li>No instales software pirateado en el Mac. Al hacerlo, el riesgo de encontrarte con un troyano es muy alto y las consecuencias pueden ser graves.<\/li>\n<li>Esto es especialmente cierto si utilizas el mismo Mac para realizar transacciones con criptomonedas. En este caso, el posible da\u00f1o econ\u00f3mico podr\u00eda superar en gran medida cualquier ahorro que obtengas al no comprar software original.<\/li>\n<li>En general, evita instalar aplicaciones innecesarias y recuerda desinstalar los programas que ya no usas.<\/li>\n<li>Ten cuidado con las extensiones del navegador. A primera vista, pueden parecer inofensivas, pero muchas extensiones tienen acceso completo al contenido de <em>todas<\/em> las p\u00e1ginas web, lo que las hace <a href=\"https:\/\/latam.kaspersky.com\/blog\/dangerous-browser-extensions-2023\/26928\/\" target=\"_blank\" rel=\"noopener\">tan peligrosas<\/a> como las aplicaciones.<\/li>\n<li>Por supuesto, aseg\u00farate de instalar un <a href=\"https:\/\/latam.kaspersky.com\/mac-antivirus?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____f815d9590f97bac8\" target=\"_blank\" rel=\"noopener\">antivirus fiable<\/a> en el Mac. Como hemos visto, el malware para macOS es una amenaza muy real.<\/li>\n<\/ul>\n<p>Por \u00faltimo, queremos mencionar algunas caracter\u00edsticas de los productos de seguridad de Kaspersky. Pueden detectar y bloquear muchas variantes de Banshee con el veredicto <em>Trojan-PSW.OSX.Banshee<\/em>. Algunas versiones nuevas se parecen al ladr\u00f3n AMOS, por lo que tambi\u00e9n pueden detectarse como <em>Trojan-PSW.OSX.Amos.gen<\/em>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"27915\">\n","protected":false},"excerpt":{"rendered":"<p>Banshee Stealer, un ladr\u00f3n para macOS surgido el a\u00f1o pasado, ahora anda suelto por la Web, infecta a usuarios de Mac y est\u00e1 adquiriendo nuevas funcionalidades. \u00bfC\u00f3mo puedes protegerte?<\/p>\n","protected":false},"author":2706,"featured_media":27935,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145],"tags":[638,26,427,5951,92,3110,121,2133,606,668,816,34,38,1262],"class_list":{"0":"post-27934","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-amenazas","9":"tag-apple","10":"tag-ataques","11":"tag-carteras-de-criptomonedas","12":"tag-contrasenas","13":"tag-criptomonedas","14":"tag-cuentas","15":"tag-github","16":"tag-ingenieria-social","17":"tag-ladrones","18":"tag-macos","19":"tag-malware-2","20":"tag-seguridad","21":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/27934\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/banshee-stealer-targets-macos-users\/28496\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/23749\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/12267\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/banshee-stealer-targets-macos-users\/28624\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/banshee-stealer-targets-macos-users\/30734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/banshee-stealer-targets-macos-users\/29464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/banshee-stealer-targets-macos-users\/38965\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/banshee-stealer-targets-macos-users\/13135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/52933\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/banshee-stealer-targets-macos-users\/22555\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/banshee-stealer-targets-macos-users\/37453\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/banshee-stealer-targets-macos-users\/28748\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/banshee-stealer-targets-macos-users\/34579\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/banshee-stealer-targets-macos-users\/34206\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/apple\/","name":"Apple"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27934"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27934\/revisions"}],"predecessor-version":[{"id":28769,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27934\/revisions\/28769"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27935"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}