Новый вор для macOS MonetaStealer использует искусственный интеллект и обходит детектирование

Угроза была выявлена 6 января 2026 года при анализе подозрительного бинарного файла формата Mach-O, замаскированного под исполняемый файл Windows с расширением ".exe". Такое название эксплуатирует распространенное заблуждение пользователей macOS о безвредности Windows-приложений. На техническом уровне вредоносная программа представляет собой бинарный файл, скомпилированный с помощью PyInstaller. Основная логика вора скрыта внутри сжатого архива CArchive, который прикреплен к бинарнику. Важно отметить, что файлы ".pyc" остаются упакованными до момента запуска. Следовательно, они могут обходить простые статические сканеры, проверяющие только поверхностную структуру Mach-O.

После извлечения содержимого исследователи идентифицировали файл "portfolio_app.pyc" как основную вредоносную нагрузку (payload). Декомпиляция не выявила обфускации кода, зато обнаружила комментарии на русском языке. Код проверяет платформу через условие "if sys.platform!= 'darwin'", что указывает на целенаправленную разработку для macOS. В своей текущей версии MonetaStealer обладает ограниченным функционалом и не имеет механизмов противодействия анализу или обеспечения постоянства (persistence) в системе. Это позволяет отнести его к ранним экспериментальным сборкам.

Фокусом деятельности вора стали данные браузера Google Chrome. Для кражи паролей программа выполняет системную команду "security find-generic-password", чтобы получить мастер-ключ для дешифрования. Работа с файлами cookie и истории построена на запросах к временным копиям SQLite-баз данных. Этот метод позволяет обходить блокировки файлов и снижает цифровые следы. Кроме того, вор использует фильтрацию по ключевым словам, таким как "bank", "crypto" и "paypal". Таким образом, он приоритизирует кражу сессионных cookie с высокодоходных финансовых и криптовалютных платформ.

Отдельный модуль предназначен для поиска и кражи данных криптокошельков. MonetaStealer сканирует стандартные директории, включая "~/Library/Application Support" и "~/Desktop", в поисках файлов, связанных с популярными кошельками: Exodus, Electrum, MetaMask, Ledger и другими. Для извлечения сид-фраз и приватных ключей применяются регулярные выражения. Особое внимание уделяется расширению MetaMask для Chrome, которое ищется по жестко заданному идентификатору.

Дополнительные возможности включают кражу учетных данных Wi-Fi через системные утилиты "networksetup" и "security", рекогносцировку связки ключей (Keychain) macOS, поиск финансовых документов по ключевым словам, сбор приватных SSH-ключей и данных из буфера обмена. Однако исследователи отмечают неэффективность модуля кражи документов. Он лишь подсчитывает найденные совпадения и сохраняет первые 500 символов файла, не осуществляя полноценного хищения.

Собранные данные упаковываются в zip-архив с именем "STOLEN{sessionID}.zip" на рабочем столе пользователя. Для их выгрузки (exfiltration) используется API мессенджера Telegram. Аналитики наблюдали отправку краткого отчета через бота с именем "B746 Mac Collector", однако факт передачи самого архива украденных данных зафиксирован не был. Интересно, что исследователи также обнаружили вариант этого же бинарного файла, содержащего код для Windows. Он включает "мертвую" логику, имитирующую легитимное приложение "Portfolio" с задержкой перед запуском вредоносного модуля, но в текущем виде не исполняется.

Эксперты Iru пришли к выводу, что воры данных (stealers) продолжат доминировать в ландшафте угроз для macOS в 2026 году. Их привлекательность для злоумышленников объясняется возможностью построения бизнес-модели "вредоносное ПО как услуга" (malware-as-a-service) и простотой монетизации украденной информации. Для получения первоначального доступа к системам злоумышленники применяют различные техники: от поддельных приложений и вредоносных open-source проектов до фишинговых кампаний.

Для снижения рисков пользователям рекомендуется загружать приложения только из проверенных источников, проявлять осторожность при получении скриптов или задач от неизвестных лиц и всегда проверять команды перед их выполнением в терминале. В случае инцидента платформы класса EDR (Endpoint Detection and Response), такие как Iru EDR, способны обнаруживать и блокировать активность, связанную с ворами данных, на различных этапах цепочки атаки.

SHA256

• 1a5027adf99076470444c5ffdd83a4313ab1d21827700699d0ee6ab1337beb70
• 4885adc9de7e91b74a3ac01187775459acf3e4e026ee2fa776b3419cf8dbaf00
• 6f746388853178a3b4c2c91a6bd98438fb59e760caa273a8d6a4c03936498c39
• A01e57611537699d85e9767023638dbd88a224075a866c17509dc17d7e5ddbde