安全研究人员于2026年1月6日首次发现一种名为MonetaStealer的新型信息窃取恶意软件,该软件正通过伪装文件和社交工程手段,积极针对macOS用户发起攻击。该恶意软件伪装成名为“Portfolio_Review.exe”的Windows可执行文件,实则是一个Mach-O二进制文件,对经常接收来自候选人或合作方作品集文件的专业人士构成显著威胁。
MonetaStealer旨在从受感染的macOS系统中窃取敏感信息,包括浏览器密码、加密货币钱包数据、Wi-Fi凭证、SSH密钥和财务文档。其代码包含专门的系统检查(`if sys.platform != 'darwin'`),确保仅在苹果设备上执行。
此次威胁的特别之处在于其高度依赖机器学习工具生成的代码。研究人员认为,这表明该恶意软件仍处于早期开发阶段。尽管功能尚未完善,但其在发现时于VirusTotal上的检测率为零,能够躲避大多数安全解决方案的检测。
分析显示,恶意载荷隐藏于PyInstaller编译的二进制文件中,主文件为`portfolio_app.pyc`。这个基于Python的恶意软件将其恶意逻辑嵌入到可绕过基本静态文件扫描的压缩CArchive结构中。反编译代码中发现了俄语注释且未做混淆处理,表明开发者优先考虑了功能而非隐蔽性。执行时,软件会显示“PROFESSIONAL MACOS STEALER v2.0”横幅,并通过打印语句跟踪其各个数据窃取模块的进度。
针对Chrome浏览器的数据窃取
MonetaStealer通过创建SQLite数据库的临时副本来绕过文件锁,专门窃取Google Chrome浏览器数据。它执行命令`security find-generic-password -w -a "Chrome"`来检索存储在macOS钥匙串中的Base64主密钥,这是解密保存的密码所必需的。此操作会触发系统提示,要求用户输入钥匙串密码,可能引起警觉。一旦获得访问权限,恶意软件便通过特定的SQL命令查询登录凭证、会话Cookie和浏览历史记录。
其Cookie窃取模块采用关键词过滤,通过搜索Cookie主机名中的“bank”、“crypto”、“exchange”、“paypal”等术语来识别高价值目标。这种针对性方法使其能够优先窃取金融和加密货币平台的会话信息。同时,该软件还通过从Chrome的历史记录数据库中提取URL、页面标题和访问频率来窃取浏览历史,这些信息可能暴露用户兴趣、常访问服务以及后续攻击的潜在目标。
所有收集到的浏览器数据都被结构化存储到恶意软件的内部字典中,以便后续通过一个ID为“8384579537”、名为“b746_mac_collector_bot”的Telegram机器人进行外传。目前,该威胁持续活跃,macOS用户需对来源不明的文件保持高度警惕。
资讯来源:cybersecuritynews
转载请注明出处和本文链接
10个月宝宝每天需要喝多少奶粉?
