Introdução
Pesquisadores identificaram uma nova família de infostealer chamada MonetaStealer direcionada a macOS. O artefato foi encontrado disfarçado como um executável Windows, contém payload Python empacotado e usa código gerado por ferramentas de machine learning, segundo análises citadas pela reportagem.
Descoberta e escopo
O aviso inicial veio de pesquisadores da Iru, com análise adicional publicada por analistas da The Sequence e reportada pelo Cyber Security News em 15 de janeiro de 2026. O binário Mach‑O foi observado se passando por um arquivo chamado Portfolio_Review.exe; a amostra incorpora um payload Python (portfolio_app.pyc) embutido em um CArchive, técnica que dificulta scanners estáticos.
Vetor e funcionalidades
- Engenharia social: distribuição por arquivos atraentes (ex.: supostos portfólios), cenário comum em recrutamento e colaborações profissionais.
- Coleta de credenciais: rouba senhas de navegador, cookies de sessão, histórico, chaves SSH, credenciais Wi‑Fi e dados de carteiras de criptomoedas.
- Keychain e Chrome: o malware executa comandos como security find-generic-password -w -a "Chrome" para recuperar a chave mestre em Base64 do Keychain e criar cópias temporárias dos bancos SQLite do Chrome para extrair cookies e credenciais.
- Prioridade de alvos: módulo de cookies aplica filtragem por palavras‑chave (por exemplo "bank", "crypto", "exchange", "paypal") para priorizar credenciais financeiras.
- Exfiltração: dados são enviados por meio de infraestrutura Telegram identificada como b746_mac_collector_bot (bot ID 8384579537).
Evidências e limites da análise
A decompilação revelou comentários em russo e ausência de obfuscação sofisticada, o que sugere um desenvolvimento orientado à funcionalidade. O relatório destaca também que parte do código aparenta ter sido gerada por ferramentas de machine learning, indicando um ciclo de desenvolvimento em que modelos auxiliam a produção de código malicioso.
No momento da descoberta, a amostra tinha taxa de detecção zero no VirusTotal. Não há dados públicos sobre número de vítimas, alvos geográficos ou campanhas coordenadas.
Impacto e risco
Embora a amostra aparente estar em fase inicial de desenvolvimento, as capacidades descritas (exfiltração de cookies e credenciais, extração de chaves do Keychain) representam risco elevado para alvos de alto valor — especialmente se o usuário conceder acesso ao Keychain após o prompt, tornando possível a decriptação de credenciais armazenadas.
Mitigações práticas
- Evitar abrir anexos ou executáveis suspeitos; confirmar origem de arquivos recebidos por candidatos ou parceiros.
- Treinamento de usuários para reconhecer prompts do Keychain e validar solicitações de credenciais.
- Monitorar atividade de exfiltração via Telegram e sinais TTPs (por exemplo, conexões a bots conhecidos) em logs de rede.
- Implementar proteção em múltiplas camadas: detecção comportamental no endpoint, restrições de execução por ferramenta de gerenciamento de endpoints e controles de aplicação (application allowlisting).
O que falta saber
Não há confirmação pública sobre escala da campanha, vetores secundários de distribuição, ou atribuição aos autores. Informações sobre indicadores de comprometimento adicionais e amostras relacionadas ainda dependem de divulgação pelos laboratórios que analisaram o malware.
Fontes: Cyber Security News (análise de Tushar Subhra Dutta), com trabalhos citados da Iru e The Sequence. Dados limitados sobre alcance e autoria.