{"id":22555,"date":"2025-02-11T11:52:41","date_gmt":"2025-02-11T09:52:41","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22555"},"modified":"2025-12-11T15:29:53","modified_gmt":"2025-12-11T13:29:53","slug":"banshee-stealer-targets-macos-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/banshee-stealer-targets-macos-users\/22555\/","title":{"rendered":"Banshee : un malware ciblant les utilisateurs de macOS"},"content":{"rendered":"<p>De nombreux utilisateurs de macOS pensent que leur syst\u00e8me d\u2019exploitation est immunis\u00e9 contre les programmes malveillants et qu\u2019ils n\u2019ont donc pas besoin de prendre de pr\u00e9cautions de s\u00e9curit\u00e9 suppl\u00e9mentaires. En r\u00e9alit\u00e9, c\u2019est loin d\u2019\u00eatre le cas, et de nouvelles menaces continuent d\u2019appara\u00eetre.<\/p>\n<h2>Existe-t-il des virus visant macOS\u00a0?<\/h2>\n<p>Oui, et il y en a beaucoup. Voici quelques exemples de programmes malveillants visant les Mac que nous avons d\u00e9j\u00e0 abord\u00e9s dans Kaspersky Daily et Securelist\u00a0:<\/p>\n<ul>\n<li>Un <a href=\"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/\" target=\"_blank\" rel=\"noopener\">cheval de Troie<\/a> voleur de cryptomonnaies camoufl\u00e9 en versions pirat\u00e9es d\u2019applications macOS populaires.<\/li>\n<\/ul>\n<div id=\"attachment_22559\" style=\"width: 1174px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114446\/banshee-stealer-targets-macos-users-1.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22559\" class=\"size-full wp-image-22559\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114446\/banshee-stealer-targets-macos-users-1.jpg\" alt=\"L'installation du cheval de Troie dans macOS\" width=\"1164\" height=\"1117\"><\/a><p id=\"caption-attachment-22559\" class=\"wp-caption-text\">La charge utile malveillante de ce cheval de Troie est stock\u00e9e dans \u00a0\u00bb\u00a0l\u2019activateur\u00a0\u00ab\u00a0. L\u2019application pirat\u00e9e ne fonctionnera pas tant qu\u2019elle n\u2019aura pas \u00e9t\u00e9 lanc\u00e9e.<a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">Source<\/a><\/p><\/div>\n<ul>\n<li>Un autre cheval de Troie<a href=\"https:\/\/www.kaspersky.fr\/blog\/macos-users-cyberthreats-2023\/21320\/\" target=\"_blank\" rel=\"noopener\"> voleur de cryptomonnaies<\/a>, celui-ci se faisant passer pour un document PDF intitul\u00e9 \u00a0\u00bb\u00a0Les cryptomonnaies et leurs risques pour la stabilit\u00e9 financi\u00e8re\u00a0\u00ab\u00a0.<\/li>\n<li>Un cheval de Troie qui utilisait des Mac infect\u00e9s pour cr\u00e9er un <a href=\"https:\/\/securelist.com\/trojan-proxy-for-macos\/111325\/\" target=\"_blank\" rel=\"noopener\">r\u00e9seau de serveurs proxy ill\u00e9gaux<\/a> afin d\u2019acheminer du trafic malveillant.<\/li>\n<li>Le voleur Atomic, distribu\u00e9 sous la forme d\u2019une <a href=\"https:\/\/www.kaspersky.fr\/blog\/macos-users-cyberthreats-2023\/21320\/\" target=\"_blank\" rel=\"noopener\">fausse mise \u00e0 jour de Safari<\/a>.<\/li>\n<\/ul>\n<p>Cette liste de menaces anciennes est longue, mais nous allons plut\u00f4t nous concentrer sur l\u2019une des derni\u00e8res attaques ciblant les utilisateurs de macOS, \u00e0 savoir le stealer Banshee\u2026<\/p>\n<h2>Ce que fait le voleur Banshee<\/h2>\n<p>Banshee est un stealer d\u2019informations \u00e0 part enti\u00e8re. Il s\u2019agit d\u2019un type de programme malveillant qui recherche des donn\u00e9es pr\u00e9cieuses dans l\u2019appareil infect\u00e9 (dans notre cas, un Mac) et les envoie aux criminels impliqu\u00e9s. Banshee se concentre principalement sur le vol de donn\u00e9es li\u00e9es aux cryptomonnaies et \u00e0 la blockchain.<\/p>\n<p>Voici ce que fait ce programme malveillant une fois qu\u2019il se retrouve \u00e0 l\u2019int\u00e9rieur du syst\u00e8me\u00a0:<\/p>\n<ul>\n<li>Vole les identifiants et mots de passe enregistr\u00e9s dans divers navigateurs\u00a0: Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex Browser et Opera.<\/li>\n<li>Vole les informations stock\u00e9es par les extensions de navigateur. Le malware cible plus de 50 extensions, dont la plupart sont li\u00e9es aux portefeuilles de cryptomonnaies, notamment Coinbase Wallet, MetaMask, Trust Wallet, Guarda, Exodus et Nami.<\/li>\n<li>Vole les jetons 2FA stock\u00e9s dans l\u2019extension de navigateur Authenticator.cc.<\/li>\n<li>Recherche et extrait des donn\u00e9es des applications de portefeuille de cryptomonnaies, notamment Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic et Ledger.<\/li>\n<li>R\u00e9colte les informations syst\u00e8me et vole le mot de passe macOS en affichant une fausse fen\u00eatre de saisie du mot de passe.<\/li>\n<\/ul>\n<p>Banshee compile toutes ces donn\u00e9es dans une archive ZIP, les chiffre \u00e0 l\u2019aide d\u2019un simple chiffrement XOR et les envoie au serveur de commande et de contr\u00f4le des attaquants.<\/p>\n<p>Dans ses derni\u00e8res versions, les d\u00e9veloppeurs de Banshee ont ajout\u00e9 la possibilit\u00e9 de contourner l\u2019antivirus int\u00e9gr\u00e9 de macOS, XProtect. Il est int\u00e9ressant de noter que pour \u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9, le programme malveillant utilise le m\u00eame algorithme que XProtect pour se prot\u00e9ger, en chiffrant des segments cl\u00e9s de son code et en les d\u00e9chiffrant \u00e0 la vol\u00e9e lors de son ex\u00e9cution.<\/p>\n<h2>Comment le voleur Banshee se propage\u00a0?<\/h2>\n<p>Les auteurs du virus Banshee ont principalement utilis\u00e9 GitHub pour infecter leurs victimes. En guise d\u2019app\u00e2t, ils ont propos\u00e9 des versions pirat\u00e9es de logiciels co\u00fbteux comme Autodesk AutoCAD, Adobe Acrobat Pro, Adobe Premiere Pro, Capture One Pro et Blackmagic Design DaVinci Resolve.<\/p>\n<div id=\"attachment_22560\" style=\"width: 2058px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114459\/banshee-stealer-targets-macos-users-2.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22560\" class=\"size-full wp-image-22560\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114459\/banshee-stealer-targets-macos-users-2.jpg\" alt=\"Distribution du voleur Banshee sur GitHub \" width=\"2048\" height=\"1536\"><\/a><p id=\"caption-attachment-22560\" class=\"wp-caption-text\">Les cr\u00e9ateurs de Banshee ont utilis\u00e9 GitHub pour diffuser le programme malveillant sous couvert de logiciels pirat\u00e9s. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>Les attaquants ciblaient souvent les utilisateurs de macOS et de Windows en m\u00eame temps\u00a0: Banshee \u00e9tait souvent associ\u00e9 \u00e0 un voleur Windows appel\u00e9 Lumma.<\/p>\n<p>Une autre campagne sign\u00e9e Banshee, d\u00e9couverte apr\u00e8s la fuite du code source du voleur (plus d\u2019informations \u00e0 ce sujet ci-dessous), impliquait un site de phishing proposant aux utilisateurs de macOS de t\u00e9l\u00e9charger \u00a0\u00bb\u00a0Telegram Local\u00a0\u00ab\u00a0, un logiciel cens\u00e9 les prot\u00e9ger contre le phishing et les programmes malveillants. Bien s\u00fbr, le fichier t\u00e9l\u00e9charg\u00e9 \u00e9tait infect\u00e9. Il est int\u00e9ressant de noter que le lien malveillant n\u2019\u00e9tait m\u00eame pas visible pour les utilisateurs d\u2019autres syst\u00e8mes d\u2019exploitation.<\/p>\n<div id=\"attachment_22558\" style=\"width: 1087px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114435\/banshee-stealer-targets-macos-users-3.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22558\" class=\"size-full wp-image-22558\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114435\/banshee-stealer-targets-macos-users-3.jpg\" alt=\"Banshee se propage via un site de phishing\" width=\"1077\" height=\"606\"><\/a><p id=\"caption-attachment-22558\" class=\"wp-caption-text\">Un site de phishing propose de t\u00e9l\u00e9charger Banshee camoufl\u00e9 en \u00ab\u00a0Telegram Local\u00a0\u00bb, mais uniquement aux utilisateurs de macOS (\u00e0 gauche). <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\"> Source<\/a><\/p><\/div>\n<h2>Le pass\u00e9 et le futur de Banshee<\/h2>\n<p>Passons maintenant \u00e0 l\u2019histoire de Banshee, qui est vraiment tr\u00e8s int\u00e9ressante. Ce programme malveillant est apparu pour la premi\u00e8re fois en juillet\u00a02024. Ses d\u00e9veloppeurs l\u2019ont commercialis\u00e9 sous la forme d\u2019un abonnement de type programme malveillant en tant que service (MaaS), factur\u00e9 3\u00a0000\u00a0dollars par mois.<\/p>\n<p>Les ventes n\u2019ont pas d\u00fb \u00eatre tr\u00e8s florissantes, car d\u00e8s la mi-ao\u00fbt, le prix a \u00e9t\u00e9 r\u00e9duit de 50\u00a0%, ramenant l\u2019abonnement mensuel \u00e0 1\u00a0500\u00a0dollars.<\/p>\n<div id=\"attachment_22556\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114411\/banshee-stealer-targets-macos-users-4.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22556\" class=\"size-full wp-image-22556\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2025\/02\/11114411\/banshee-stealer-targets-macos-users-4.jpg\" alt=\"Annonce d'une r\u00e9duction de prix pour le voleur Banshee \" width=\"1024\" height=\"725\"><\/a><p id=\"caption-attachment-22556\" class=\"wp-caption-text\">Une annonce sur un site de piratage annon\u00e7ant une r\u00e9duction sur Banshee : 1 500 dollars au lieu de 3 000 dollars par mois. <a href=\"https:\/\/research.checkpoint.com\/2025\/banshee-macos-stealer-that-stole-code-from-macos-xprotect\/\" target=\"_blank\" rel=\"nofollow noopener\">Source<\/a><\/p><\/div>\n<p>\u00c0 un moment donn\u00e9, les cr\u00e9ateurs ont soit chang\u00e9 de strat\u00e9gie, soit d\u00e9cid\u00e9 d\u2019ajouter un programme d\u2019affiliation \u00e0 leur portefeuille. Ils ont commenc\u00e9 \u00e0 recruter des partenaires pour des campagnes communes. Dans ces campagnes, les cr\u00e9ateurs de Banshee fournissaient le programme malveillant et les partenaires ex\u00e9cutaient l\u2019attaque proprement dite. L\u2019id\u00e9e des d\u00e9veloppeurs \u00e9tait de partager les gains 50\/50.<\/p>\n<p>Cependant, quelque chose a d\u00fb mal tourner. Fin novembre, le code source de Banshee a \u00e9t\u00e9 divulgu\u00e9 et publi\u00e9 sur un forum de piratage, mettant ainsi fin \u00e0 la vie commerciale du programme malveillant. Les d\u00e9veloppeurs ont annonc\u00e9 qu\u2019ils quittaient l\u2019entreprise, mais pas avant d\u2019avoir tent\u00e9 de vendre l\u2019ensemble du projet pour 1\u00a0BTC, puis pour 30\u00a0000\u00a0dollars (probablement parce qu\u2019ils avaient eu vent de la divulgation du code).<\/p>\n<p>Ainsi, depuis plusieurs mois, ce voleur redoutable pour macOS est \u00e0 la disposition de tout le monde, et ce, gratuitement. Pire encore, comme le code source est d\u00e9sormais accessible, les cybercriminels peuvent cr\u00e9er leurs propres versions modifi\u00e9es de Banshee.<\/p>\n<p>Et \u00e0 en juger par les faits, c\u2019est d\u00e9j\u00e0 le cas. Par exemple, les versions originales de Banshee cessaient de fonctionner si le syst\u00e8me d\u2019exploitation fonctionnait en russe. Cependant, l\u2019une des derni\u00e8res versions a supprim\u00e9 la v\u00e9rification de la langue, ce qui signifie que les utilisateurs russophones sont d\u00e9sormais \u00e9galement expos\u00e9s au risque.<\/p>\n<h2>Comment se prot\u00e9ger de Banshee et d\u2019autres menaces pour macOS\u00a0?<\/h2>\n<p>Voici quelques conseils de s\u00e9curit\u00e9 pour les utilisateurs de macOS\u00a0:<\/p>\n<ul>\n<li>N\u2019installez pas de logiciels pirat\u00e9s sur votre Mac. Le risque de tomber sur un cheval de Troie en proc\u00e9dant ainsi est tr\u00e8s \u00e9lev\u00e9, et les cons\u00e9quences peuvent \u00eatre graves.<\/li>\n<li>Ce point est d\u2019autant plus important si vous utilisez le m\u00eame Mac pour effectuer des transactions en cryptomonnaies. Dans ce cas, les dommages financiers potentiels pourraient d\u00e9passer de loin les \u00e9conomies r\u00e9alis\u00e9es sur l\u2019achat du logiciel original.<\/li>\n<li>De mani\u00e8re g\u00e9n\u00e9rale, \u00e9vitez d\u2019installer des applications inutiles et pensez \u00e0 d\u00e9sinstaller les programmes que vous n\u2019utilisez plus.<\/li>\n<li>Faites preuve de prudence \u00e0 l\u2019\u00e9gard des extensions de navigateur. Elles peuvent sembler inoffensives \u00e0 premi\u00e8re vue, mais de nombreuses extensions ont un acc\u00e8s total au contenu de <em>toutes<\/em> les pages Web, ce qui les rend <a href=\"https:\/\/www.kaspersky.fr\/blog\/dangerous-browser-extensions-2023\/21343\/\" target=\"_blank\" rel=\"noopener\">tout aussi dangereuses<\/a> que des applications \u00e0 part enti\u00e8re.<\/li>\n<li>Et bien s\u00fbr, assurez-vous d\u2019installer un <a href=\"https:\/\/www.kaspersky.fr\/mac-antivirus?utm_source=affiliate&amp;icid=fr_kdailyplacehold_acq_ona_smm__onl_b2c_kdaily_wpplaceholder_sm-team___kism____30158be6cb5cf5a0\" target=\"_blank\" rel=\"noopener\">antivirus fiable<\/a> sur votre Mac. Comme nous l\u2019avons vu, les programmes malveillants pour macOS constituent une menace bien r\u00e9elle.<\/li>\n<\/ul>\n<p>Enfin, un mot sur les produits de s\u00e9curit\u00e9 Kaspersky. Ils sont en mesure de d\u00e9tecter et de bloquer de nombreuses variantes de Banshee avec le verdict <em>Trojan-PSW.OSX.Banshee<\/em>. Certaines nouvelles versions ressemblent au voleur AMOS et peuvent donc \u00eatre d\u00e9tect\u00e9es comme <em>Trojan-PSW.OSX.Amos.gen<\/em>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"22529\">\n","protected":false},"excerpt":{"rendered":"<p>Banshee Stealer, un voleur de macOS apparu l&rsquo;ann\u00e9e derni\u00e8re, circule d\u00e9sormais librement sur le Web, infectant les utilisateurs de Mac et d\u00e9veloppant ses capacit\u00e9s. Comment vous en prot\u00e9ger ?<\/p>\n","protected":false},"author":2706,"featured_media":22561,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[29,28,522,2456,3241,4476,533,599,204,205,4437,920,61,4368],"class_list":{"0":"post-22555","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apple","9":"tag-attaques","10":"tag-chevaux-de-troie","11":"tag-comptes","12":"tag-cryptomonnaie","13":"tag-github","14":"tag-ingenierie-sociale","15":"tag-macos","16":"tag-menaces","17":"tag-mots-de-passe","18":"tag-portefeuilles-de-cryptomonnaies","19":"tag-programmes-malveillants","20":"tag-securite","21":"tag-voleurs"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/banshee-stealer-targets-macos-users\/22555\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/banshee-stealer-targets-macos-users\/28496\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/23749\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/12267\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/banshee-stealer-targets-macos-users\/28624\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/27934\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/banshee-stealer-targets-macos-users\/30734\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/banshee-stealer-targets-macos-users\/29464\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/banshee-stealer-targets-macos-users\/38965\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/banshee-stealer-targets-macos-users\/13135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/banshee-stealer-targets-macos-users\/52933\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/banshee-stealer-targets-macos-users\/23400\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/banshee-stealer-targets-macos-users\/31918\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/banshee-stealer-targets-macos-users\/37453\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/banshee-stealer-targets-macos-users\/28748\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/banshee-stealer-targets-macos-users\/34579\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/banshee-stealer-targets-macos-users\/34206\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apple\/","name":"apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=22555"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22555\/revisions"}],"predecessor-version":[{"id":23432,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/22555\/revisions\/23432"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/22561"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=22555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=22555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=22555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}