Ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών με το όνομα MonetaStealer ανακαλύφθηκε και στοχεύει ενεργά χρήστες macOS μέσω παραπλανητικών μεταμφιέσεων αρχείων και τακτικών κοινωνικής μηχανικής.
Οι ερευνητές ασφαλείας στην Iru εντόπισαν για πρώτη φορά αυτήν την απειλή στις 6 Ιανουαρίου 2026, όταν βρήκαν ένα ύποπτο δυαδικό Mach-O που μεταμφιέζεται σε ένα εκτελέσιμο αρχείο των Windows με το όνομα Portfolio_Review.exe.
Το κακόβουλο λογισμικό αντιπροσωπεύει μια αυξανόμενη ανησυχία για τους χρήστες Mac, ειδικά εκείνους σε επαγγελματικούς κλάδους που λαμβάνουν συχνά αρχεία χαρτοφυλακίου από πιθανούς υποψηφίους ή συνεργάτες.
Το MonetaStealer έχει σχεδιαστεί για να εξάγει ευαίσθητες πληροφορίες από μολυσμένα συστήματα macOS, συμπεριλαμβανομένων κωδικών πρόσβασης προγράμματος περιήγησης, δεδομένων πορτοφολιού κρυπτονομισμάτων, διαπιστευτηρίων Wi-Fi, κλειδιών SSH και οικονομικών εγγράφων.
Το κακόβουλο λογισμικό περιέχει κώδικα που ελέγχει ειδικά για συστήματα macOS χρησιμοποιώντας την επαλήθευση if sys.platform != 'darwin'διασφαλίζοντας ότι εκτελείται μόνο σε συσκευές Apple.
Αυτό που κάνει αυτή την απειλή ιδιαίτερα ενδιαφέρουσα είναι η μεγάλη εξάρτησή της από τον κώδικα που δημιουργείται μέσω εργαλείων μηχανικής εκμάθησης, κάτι που οι ερευνητές πιστεύουν ότι υποδηλώνει ότι το κακόβουλο λογισμικό βρίσκεται ακόμη σε πρώιμες φάσεις ανάπτυξης.
Παρά την ελλιπή φύση του, το MonetaStealer διατηρεί μηδενικό ποσοστό ανίχνευσης στο VirusTotal τη στιγμή της ανακάλυψης, καθιστώντας το αόρατο στις περισσότερες λύσεις ασφαλείας.
Οι αναλυτές του Sequence αναγνωρισθείς portfolio_app.pyc ως το κύριο ωφέλιμο φορτίο που είναι κρυμμένο στο δυαδικό αρχείο που έχει μεταγλωττιστεί από το PyInstaller.
Αυτό το κακόβουλο λογισμικό που βασίζεται σε Python ενσωματώνει την κακόβουλη λογική του σε μια συμπιεσμένη δομή CArchive που παρακάμπτει βασικούς σαρωτές στατικών αρχείων.
Η αποσυμπίληση του κώδικα αποκάλυψε σχόλια στη ρωσική γλώσσα και καμία σύγχυση, υποδηλώνοντας ότι ο προγραμματιστής έδινε προτεραιότητα στη λειτουργικότητα έναντι της μυστικότητας.
.webp.jpeg "Κακόβουλο λογισμικό MonetaStealer Powered with AI Code που επιτίθεται σε χρήστες macOS στη φύση")
Το κακόβουλο λογισμικό εμφανίζει ένα banner που γράφει “ΕΠΑΓΓΕΛΜΑΤΙΚΟΣ ΚΛΕΦΤΗΣ MACOS v2.0” κατά την εκτέλεση, μαζί με δηλώσεις εκτύπωσης που παρακολουθούν την πρόοδό του μέσω διαφόρων μονάδων κλοπής δεδομένων.
Κλοπή δεδομένων προγράμματος περιήγησης Chrome
Το MonetaStealer στοχεύει συγκεκριμένα τα δεδομένα του προγράμματος περιήγησης Google Chrome δημιουργώντας προσωρινά αντίγραφα βάσεων δεδομένων SQLite για να παρακάμψει τα κλείδωμα αρχείων.
Το κακόβουλο λογισμικό εκτελεί την εντολή security find-generic-password -w -a "Chrome" για να ανακτήσετε το κύριο κλειδί Base64 που είναι αποθηκευμένο στο macOS Keychain, το οποίο απαιτείται για την αποκρυπτογράφηση αποθηκευμένων κωδικών πρόσβασης.
Αυτή η λειτουργία ενεργοποιεί μια προτροπή συστήματος που ζητά τον κωδικό πρόσβασης της αλυσίδας κλειδιού του χρήστη, ο οποίος θα μπορούσε να ειδοποιήσει τα παρατηρητικά θύματα. Μόλις παραχωρηθεί η πρόσβαση, το κακόβουλο λογισμικό ζητά τα διαπιστευτήρια σύνδεσης, τα cookie περιόδου λειτουργίας και το ιστορικό περιήγησης μέσω στοχευμένων εντολών SQL.
Η ενότητα κλοπής cookie εφαρμόζει φιλτράρισμα λέξεων-κλειδιών για τον εντοπισμό στόχων υψηλής αξίας αναζητώντας όρους όπως “τράπεζα”, “κρυπτογραφία”, “ανταλλαγή” και “paypal” στα ονόματα κεντρικών υπολογιστών cookie.
Αυτή η στοχευμένη προσέγγιση επιτρέπει στο κακόβουλο λογισμικό να δίνει προτεραιότητα στις συνεδρίες της πλατφόρμας οικονομικών και κρυπτονομισμάτων. Ο παρακάτω κώδικας δείχνει πώς το MonetaStealer επεξεργάζεται τα κλεμμένα cookies:
print('[+] Stealing Chrome cookies...')
try:
host, name, path, encrypted_value = row
if any((keyword in host.lower() for keyword in ['bank', 'crypto',
'exchange', 'paypal'])) and self.stolen_data['browser']['cookies'].append({'host':
host, 'name': name, 'path': path}):
pass
conn.close()
except Exception as e:
print (f' X Error: {e}')Το κακόβουλο λογισμικό συλλέγει επίσης το ιστορικό περιήγησης εξάγοντας διευθύνσεις URL, τίτλους σελίδων και συχνότητες επισκέψεων από τη βάση δεδομένων του Ιστορικού του Chrome.
Αυτές οι πληροφορίες μπορούν να αποκαλύψουν τα ενδιαφέροντα των χρηστών, τις υπηρεσίες που επισκέπτονται συχνά και πιθανούς πρόσθετους στόχους για επιθέσεις παρακολούθησης.
Όλα τα δεδομένα του προγράμματος περιήγησης που συλλέγονται είναι δομημένα στο εσωτερικό λεξικό αποθήκευσης του κακόβουλου λογισμικού για μετέπειτα διείσδυση μέσω μιας υποδομής bot Telegram που προσδιορίζεται ως “b746_mac_collector_bot” με το αναγνωριστικό ρομπότ 8384579537.
