MonetaStealer: вновь обнаруженный стилер для macOS и Windows

6 января 2026 года исследователи обнаружили новую семью вредоносного ПО под названием MonetaStealer. На ранней стадии развития, но уже демонстрируя высокую скрытность, она целенаправленно атакует macOS — похищая данные браузеров, учётные записи Wi‑Fi, содержимое Keychain, файлы из пользовательских папок, SSH‑ключи и данные буфера обмена.

Ключевые выводы

• MonetaStealer распространяется через замаскированные Mach‑O бинарники, которые получают расширение .exe для обмана пользователей macOS.
• Вредонос упакован с помощью PyInstaller: вредоносный код скрыт внутри .pyc-файлов в составе PyInstaller CArchive, что затрудняет статический анализ.
• На момент обнаружения MonetaStealer демонстрировал нулевой уровень обнаружения на VirusTotal, указывая на высокую скрытность и вероятность обхода сигнатурных средств защиты.
• Атака фокусируется на кражи ценных цифровых активов, в частности данных, связанных с финансами и криптовалютой, и эксфильтрации через Telegram API.

Технический анализ работы стиллера

Исходный образец представляет собой Mach‑O бинарник без подписи, упакованный PyInstaller и переименованный с целью ввести пользователя в заблуждение (.exe‑расширение). Основная логика скрыта в сжатом PyInstaller CArchive — извлечённые .pyc-модули не видны при простом статическом обзоре и становятся доступными только при исполнении.

Исследователи выделили одну из основных полезных нагрузок под именем portfolio_app.pyc. Вредонос ведёт себя как классический stealer и выполняет следующие операции по сбору данных:

• Браузерные данные (Chrome):
  • Создаёт временные копии SQLite‑баз данных браузера, чтобы обойти блокировки файлов и минимизировать ошибки доступа.
  • Выполняет команду security find-generic-password для извлечения мастер‑ключа Chrome (в Base64) и использует его для расшифровки сохранённых паролей.
  • Фильтрует и извлекает ценные сессионные cookies по ключевым словам, связанным с финансами и криптовалютой.
• Wi‑Fi и Keychain:
  • Собирает список предпочитаемых сетей командой networksetup -listpreferredwirelessnetworks en0 для получения SSID.
  • Использует несколько вызовов security find-generic-password и security dump-keychain для извлечения паролей и записи из macOS Keychain, особенно объектов, помеченных финансовыми ключевыми словами.
• Файловая система и документы: сканирование каталогов ~/Documents, ~/Downloads, ~/Desktop на предмет файлов типов .pdf, .txt, .doc, .xls, .xlsx с ключевыми словами, указывающими на ценную информацию.
• SSH‑ключи и буфер обмена:
  • Анализ каталога .ssh на предмет приватных ключей по криптографическим заголовкам (-----BEGIN…).
  • Чтение содержимого буфера обмена с помощью pbpaste, сохранение первых 5000 символов.
• Эксфильтрация данных: собранные данные упаковываются в ZIP‑архив с именем вида STOLEN{SessionID}.zip на рабочем столе и отправляются злоумышленникам через Telegram API.

Особенности Windows‑версии

Исследователи также обнаружили образец под названием Portfolio_review.exe, включающий Python‑payload для Windows. Однако в этой версии содержится нефункциональный код, препятствующий выполнению полезной нагрузки, что, по мнению аналитиков, указывает на то, что файл служит преимущественно как декой для социальных инженеров или как многоцелевой инсталлятор для дальнейшего развития кампании.

«MonetaStealer демонстрирует сочетание элементарных, но эффективных приёмов сокрытия и целенаправленного сбора ценностей — от cookies до приватных ключей SSH», — отмечают исследователи.

Оценка угрозы

Хотя образец пока не содержит сложных механизмов анти‑анализа или устойчивой персистентности, его стратегия маскировки, низкая детектируемость и фокус на ценных цифровых артефактах делают MonetaStealer серьёзной угрозой для пользователей macOS, особенно для тех, кто хранит на устройстве доступы к финансовым сервисам и криптовалютным кошелькам.

Рекомендации по защите и минимизации риска

• Устанавливайте приложения только из проверенных источников (App Store, официальные сайты разработчиков).
• Не запускать бинарники с неожиданными расширениями (например, .exe на macOS), обращать внимание на подписи и происхождение файлов.
• Перед выполнением незнакомых команд в Terminal проверяйте их содержание и источник.
• Ограничьте доступ приложений к Keychain и Full Disk Access; проверяйте разрешения в System Settings.
• Регулярно обновляйте macOS и браузеры, используйте надежные антивирусные/EDR‑решения и периодически сканируйте систему.
• Включайте двухфакторную аутентификацию для критичных сервисов, регулярно меняйте пароли и вращайте ключи/токены при подозрении на компрометацию.
• Проверяйте рабочий стол и домашние папки на наличие подозрительных архивов (например, STOLEN*.zip) и незнакомых приложений; при обнаружении — изолируйте устройство и обратитесь к специалистам.

Поскольку стиллеры остаются одним из наиболее распространённых типов угроз для macOS, пользователям и администраторам важно сохранять бдительность, следовать рекомендациям по безопасности и своевременно реагировать на подозрительную активность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.